本文に騙されないでください 「トヨタファイナンス株式会社」になりすまし「TS CUBIC CARD」を騙ったフィッシング詐欺メール が届きました。 しっかりと作り込まれた内容ですが、残念ながら私、このカード持ってないんですよね~(笑)  「ご依頼の背景」なんて事細かに書かれていますが、何を書こうが所詮詐欺メールです。 では、このメールを解体し詳しく見ていきましょう! まずはプロパティーから見ていきましょう。 件名は 「[spam] 【TS CUBIC CARD】重要なお知らせ」 ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”TS CUBIC WEBサイト” <info@ts3card.com>」 皆さんはご存じでしょうか? この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。 ですから、ここは信用できない部分です。 上手く化けたつもりしょうか?… ”ts3card.com”は確かに「TS CUBIC CARD」のドメインですが、件名に”[spam]”とあるので このメールは詐欺メール故に偽装の疑いがあります。 その辺りを含め、次の項で見ていくことにしましょう。 ”Return-Path”にはAmazonを彷彿とされるアカウント名が では、このメールがフィッシング詐欺メールであることを立証していきましょうか! まず、このメールのヘッダーソースを確認し調査してみます。 私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「amazoni-account@isde.cn」 おやおや、もう中国ドメインが露呈しちゃいましたね。(笑) それに”amazoni-account”って、もしかしてこの方Amazonの詐欺にも加担して いるのでしょうか? ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 恐らくこのアドレスも偽装されていることでしょうね。 | Message-ID:「B75810588736A91D5D54FBAB680ADAD9@uzewabpgx」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from uzewabpgx (unknown [121.33.184.105])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | ”Return-Path”のドメインは、差出人のメールアドレスのドメインと全く異なるので この時点で偽装確定。 これは、特定電子メール法違反となり処罰の対象とされます。 ※特定電子メール法違反 ・個人の場合、1年以下の懲役または100万円以下の罰金 ・法人の場合、行為者を罰する 「フィールド御三家」の中で一番重要なのは”Received” これを紐解けば差出人の素性が見えてきます。 ”Received”のIPアドレス”121.33.184.105”は、差出人が利用しているメールサーバーのもの。 このIPアドレスを元にその割り当て地を確認してみます。  IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 ピンが立てられたのは、中国広東省広州市付近です。 このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。 詐欺サイトは誰にもブロックされることなくしれっと無防備に放置 では引き続き本文。 TS CUBIC CARDをご利用いただきありがとうございます。 現在弊社では、お客さまが弊社にご登録しただいている各種情報*について、最新の情報かどうかを 確認をさせていただいております。 下記URLにアクセスし、お手統きを完了してください。 h**ps://my.ts3card.com/webapp/ToTP01020101Action.do (直リンク防止のため一部文字を変更してあります) URLの有効期限は、48時間です。 48時間経過後は、再度お手続きが必要となりますので、ご注意ください。 | このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。 そのリンクは、本文内に直書きされていて、リンク先のURLがこちらです。  ”ts3card.com”と本家のドメインが使われていますが、でも、騙されないでください。 これ偽装されていますから…。 で、本当のリンク先のURLがこちらになります。  このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。  おっと、まだ「未評価」のようです。 このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。 評価を変更していただけるよう早速申請しておきます。 このURLで使われているドメインは、サブドメインを含め”qpt43hqdl.club” このドメインにまつわる情報を取得してみます。   このドメインの登録者の所在は、「Registrant State/Province: Hunan」とあるので、中国湖南省。 それ以外のほとんどがプライバシー保護でマスクされています。 そしてこのドメインを割当てているIPアドレスは”192.210.140.52” このIPアドレスを元にその割り当て地を確認してみます。  ピンが立てられのは、アメリカテキサス州「ダラス」付近。 この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。 誰にもブロックされることなくノーマークでしれっと無防備に放置されていたのは、 TS CUBIC CARD会員専用のウェブサイト「MY TS3」へのログインページ。 もちろん偽サイトですから絶対にログインしないでください!  本物のサイトを丸ごとダウンロードして複製し作られたサイトなので、URL以外本物と全く 見分けが付きませんのでとても危険です。 まとめ しっかりと作り込まれているメールでしたから、ぱっと見ではなかなか偽者だとは判断の付きづらい フィッシング詐欺メールでしたが、ちゃんと調べればすぐにそれだと分かります。 こうした知識を付けておくことをお勧めいたします。 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの フィッシング詐欺サイトが作られ消滅していきます。 次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |