「あなたの永久ロック」って…(笑) AEONから不思議なメールが届きました。 何が不思議かって、私AEONにアカウントなんて作ってないんです。 それに片言のような日本語で…(;^_^A ![](/wp-content/uploads/2022/09/img_6316f073eb38f.png) あれ?この署名にある住所って他のメールでも見たことあるような… 調べてみると、イオン銀行の所在地は「東京都千代田区神田錦町3-22」で中野区ではありません! では、ウソつきのこのメールを解体し詳しく見ていきましょう! まずはプロパティーから見ていきましょう。 件名は 「[spam] 【重要】あなたのアカウントは停止されました!番号:687905317652」 ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「АEOΝ <userid@aeon.co.jp>」 分かります?この「АEOΝ」って文字。 「A」と「N」だけ全角で「EO」は半角… もちろんウソなんだけどなんか意味あるんだろうか?(汗) 上手く化けたつもりしょうか?… ”aeon.co.jp”は確かに「」のドメインですが、件名に”[spam]”とあるのでこのメールは詐欺メール故に 偽装の疑いがあります。 その辺りを含め、次の項で見ていくことにしましょう。 絶対に偽装 では、このメールがフィッシング詐欺メールであることを立証していきましょうか! まず、このメールのヘッダーソースを確認し調査してみます。 私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。 ソースから抜き出した「フィールド御三家」がこちらです。 この差出人は、あくまで自分のドメインは”aeon.co.jp”と言い張るようですね。 ならばその鼻っ柱をへし折ってやりましょうか! 先に書いた通り”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。 このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法 違反となり処罰の対象とされます。 ※特定電子メール法違反 ・個人の場合、1年以下の懲役または100万円以下の罰金 ・法人の場合、行為者を罰する では、メールアドレスにあったドメイン”aeon.co.jp”について調べてみます。 ![](/wp-content/uploads/2022/09/img_6316f3b051691.png) このドメインは「エー・シー・エス債権管理回収」さんの持ち物です。 「エー・シー・エス債権管理回収」は、イオンファイナンシャルサービスの子会社。 そして”23.42.114.45”がこのドメインを割当てているIPアドレス。 本来同じでなけれならない”Received”のIPアドレスが”182.204.179.179”ですから全く異なります。 これでアドレス偽装は確定。 この方にはしっかり罪を償っていただかなければなりませんね! 「フィールド御三家」の中で一番重要なのは”Received” これを紐解けば差出人の素性が見えてきます。 ”Received”のIPアドレス”182.204.179.179”は、差出人が利用しているメールサーバーのもの。 このIPアドレスを元にその割り当て地を確認してみます。 ![](/wp-content/uploads/2022/09/img_6316f4bce5f67.png) IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 ピンが立てられたのは、中国 遼寧省(りょうねいしょう) 瀋陽市付近です。 このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。 「24時間前に情報を更新」?? では引き続き本文。 なんかおかしなところに「>」が入ってたり「24時間前に情報を更新」なんておかしな表現が あったりとちょっと間の抜けた本文ですね。 このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。 そのリンクは「ご利用確認はこちら」って書かれたところに張られていて、リンク先の URLがこちらです。 ![](/wp-content/uploads/2022/09/img_6316f5af42025.png) イオンには全く関連性の無いURLです! このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。 ![](/wp-content/uploads/2022/09/img_6316f5fb216f7.png) このように既に危険サイトと認識されており、ブラックリストに登録済み。 そのカテゴリは「フィッシング」と書かれています。 このURLで使われているドメインは、”pskfmlaabbgh.top” このドメインにまつわる情報を取得してみます。 ![](/wp-content/uploads/2022/09/img_6316f64737d97.png) 登録者は、アメリカアリゾナ州にある「See PrivacyGuardian」ってドメイン取得代行会社。 このドメインを割当てているIPアドレスは”155.94.141.23” このIPアドレスを元にその割り当て地を確認してみます。 ![](/wp-content/uploads/2022/09/img_6316f6ecba0f2.png) このIPアドレスは既にブラックリスト入りしていました。 脅威のレベル「高」でその種類はWebによるサイバーアタックとされています。 ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーに程近い場所。 フィッシング詐欺サイトは、この付近に密集しています! この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険と言われると見に行きたくなるのが人情と言うもの。 安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。 開いたのは「AEON CARD」と書かれたログインページ。 もちろん偽サイトですから絶対にログインしないでください! ![](/wp-content/uploads/2022/08/img_630ea3613862b.png) まとめ メールアドレスが偽装されていましたが、本文がこれじゃね… 「永久ロック」なんてずいぶん昔からAmazonの詐欺メールで使われているテンプレートの流用です。 いくらメールアドレスが偽装されていても、リンク先のサイトのURLはウソを付けませんから 必ず確認してみるようにしてください。 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの フィッシング詐欺サイトが作られ消滅していきます。 次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |