「重要のお知らせ」??お盆が明けても相変わらず詐欺メールの猛攻は続いております。(;^_^A
さて今回は、トヨタファイナンスが発行するクレジットカード「TS CUBICカード」に関連する
フィッシング詐欺メールをご紹介しようと思います。 それがこのメール。
 何やら途中に暗号のようなアルファベットと数字の羅列が見られます。
これは何を意味するのでしょうか?(汗) では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は
「[spam] 【TS CUBIC CARD】重要のお知らせ」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
それにしても残念です。
「重要のお知らせ」じゃなくて「重要なお知らせ」が正解。
日本語ってホント難しいですよね。(笑) この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「”TS CUBIC CARD” <ngoqfn@service.rjgunl.cn>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 「TS CUBIC」さんには、”tscubic.com”って正規ドメインをお持ちです。
正規ドメインが有るのにそれ以外のこのようなでたらめ中国ドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。
差出したのは「ウェブアリーナ」ユーザーか?!では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「ngoqfn@service.rjgunl.cn」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「20220817073611628638@service.rjgunl.cn」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from service.rjgunl.cn (unknown [140.227.63.94])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、メールアドレスにあったドメイン”service.rjgunl.cn”について調べてみます。
 ”140.227.63.94”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと同じですからアドレス偽装はありませんでした。 何となく匂うので、このIPアドレスを逆引きし別のドメインが割当てられていないか確認してみました。
 やっぱりです!
”arena.ne.jp”なんてドメインが浮かび上がってきました。
これは、NTTコミュニケーションズが運営するホスティングサービス「ウェブアリーナ」のドメインです。
ということは、この差出人はここのユーザーと言うことになりますね。 「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”140.227.63.94”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。 
プロバイダー名には、やはり「NTT PC Communications」とありますね。 IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 ピンが立てられたのは、「JR神田駅」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
詐欺サイトは大阪に?!では引き続き本文。 | TS CUBIC CARDをご利用いただきありがとうございます。 現在弊社では、お客さまが弊社にご登録いただいている各種情報について、最新の情報かどうかを
確認をさせていただいております。
下記URLにアクセスし、お手続きを完了してください。 アカウントのご利用確認のお知らせについてはこちら URLの有効期限は、48時間です。
49D2SNGzC9GHcrUUaqinbv3Z2PLFKvxxmFNNsY6aQG72DmWbGET77srS3bd7S1wwYLTnyPqURASpx15UMac6uZKxFzSmgvJ・
ローンダリングやテロリストへの資金供与の未然防止への対応がますます重要となってきております。
弊社におきましては、金融庁および経済産業省が公表している「マネー・ローンダリングおよび
テロ資金供与対策に関するガイドライン」等を踏まえ、お客さまが弊社にご登録いただいている
各種情報等について、現在の情報に更新されているかどうかを確認させていただいております。
お客さまにはお手数をおかけすることとなりますが、よろしくお願い申しあげます。 |
「URLの有効期限は、48時間です。」と書かれた次の行にある無意味そうなアルファベットと
数字の羅列が妙に気にかかりますが… このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「アカウントのご利用確認のお知らせについてはこちら」って書かれたところに
張られていて、リンク先のURLがこちらです。
 でもこれは偽装で、このURLに接続するとすぐにリダイレクト(自動転送)され、以下のURLに
切り替わって接続されます。
 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。
 このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。 このURLで使われているドメインは、サブドメインを含め”configsure-admin.wikaba.com”
このドメインにまつわる情報を取得してみます。
 登録者は、ダイナミックDNSで知られているアメリカの「Change IP」
リンク先のサイト管理者は、ここでにドメイン登録申請の代行を依頼したようですね。 このドメインを割当てているIPアドレスは”34.97.192.97”
このIPアドレスを元にその割り当て地を確認してみます。
 このサイトはどうやらGoogleが提供するホスティングサービスのサーバーに設置されているようです。 ピンが立てられのは「大阪府大阪市北区」付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。 開いたのは「TS CUBICカード」ユーザー専用のウェブサイト「MY TS3」へのログイン画面。
もちろん偽サイトですから絶対にログインしないでください! 
まとめいくら何でも、日本の信販企業が中国のドメインを使ってメールアドレスで、ユーザー宛に
メールを送るなんて事はあり得ないでしょう。
もし、これに気付かなければリンク先のサイトのURLにも”tscubic.com”って正規ドメインが
使われていなことにも絶対に気付かないでしょうね。 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
