『詐欺メール』「【TS CUBIC CARD】重要のお知らせ」と、来た件

メールアドレスのドメインで気づいてください

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★詐欺メール解体新書★

★詐欺メール解体新書★

「重要のお知らせ」？？

お盆が明けても相変わらず詐欺メールの猛攻は続いております。(;^_^A
さて今回は、トヨタファイナンスが発行するクレジットカード「TS CUBICカード」に関連する
フィッシング詐欺メールをご紹介しようと思います。

それがこのメール。

何やら途中に暗号のようなアルファベットと数字の羅列が見られます。
これは何を意味するのでしょうか？(汗)

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「[spam] 【TS CUBIC CARD】重要のお知らせ」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
それにしても残念です。
「重要のお知らせ」じゃなくて「重要なお知らせ」が正解。
日本語ってホント難しいですよね。(笑)

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”TS CUBIC CARD” <ngoqfn@service.rjgunl.cn>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

「TS CUBIC」さんには、”tscubic.com”って正規ドメインをお持ちです。
正規ドメインが有るのにそれ以外のこのようなでたらめ中国ドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。

差出したのは「ウェブアリーナ」ユーザーか？！

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「ngoqfn@service.rjgunl.cn」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「20220817073611628638@service.rjgunl.cn」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from service.rjgunl.cn (unknown [140.227.63.94])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、メールアドレスにあったドメイン”service.rjgunl.cn”について調べてみます。

”140.227.63.94”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと同じですからアドレス偽装はありませんでした。

何となく匂うので、このIPアドレスを逆引きし別のドメインが割当てられていないか確認してみました。

やっぱりです！
”arena.ne.jp”なんてドメインが浮かび上がってきました。
これは、NTTコミュニケーションズが運営するホスティングサービス「ウェブアリーナ」のドメインです。
ということは、この差出人はここのユーザーと言うことになりますね。

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”140.227.63.94”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

プロバイダー名には、やはり「NTT PC Communications」とありますね。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられたのは、「JR神田駅」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

詐欺サイトは大阪に？！

では引き続き本文。

TS CUBIC CARDをご利用いただきありがとうございます。

現在弊社では、お客さまが弊社にご登録いただいている各種情報について、最新の情報かどうかを
確認をさせていただいております。
下記URLにアクセスし、お手続きを完了してください。

アカウントのご利用確認のお知らせについてはこちら

URLの有効期限は、48時間です。
49D2SNGzC9GHcrUUaqinbv3Z2PLFKvxxmFNNsY6aQG72DmWbGET77srS3bd7S1wwYLTnyPqURASpx15UMac6uZKxFzSmgvJ・
ローンダリングやテロリストへの資金供与の未然防止への対応がますます重要となってきております。
弊社におきましては、金融庁および経済産業省が公表している「マネー・ローンダリングおよび
テロ資金供与対策に関するガイドライン」等を踏まえ、お客さまが弊社にご登録いただいている
各種情報等について、現在の情報に更新されているかどうかを確認させていただいております。
お客さまにはお手数をおかけすることとなりますが、よろしくお願い申しあげます。

「URLの有効期限は、48時間です。」と書かれた次の行にある無意味そうなアルファベットと
数字の羅列が妙に気にかかりますが…

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「アカウントのご利用確認のお知らせについてはこちら」って書かれたところに
張られていて、リンク先のURLがこちらです。