中華フォントとおかしな漢字 以前に三井住友カードを騙ったフィッシング詐欺メールに関すすこのようなブログを
エントリーしていました。 『詐欺メール』「【三井住友カード】異常振込入金のお知らせ」と、来た件
今回、同じ件名で内容の異なるフィッシング詐欺メールが届きましたので、改めてご紹介
させていただこうと思います。 
何となく違和感の有るフォントですよね?
このフォントは恐らく”Yahei”と呼ばれる中華フォント。
よく見ると「直ちに」の「直」の文字が、常用漢字には無いものになっていますね。
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は
「[spam] 【三井住友カード】異常振込入金のお知らせ」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「”三井住友カード” <info@vpass.ne.jp>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 上手く化けたつもりしょうか?…
”vpass”は、三井住友カードユーザー専用のウェブサイトの名称ですからそれっぽいのですが
件名に”[spam]”とあるのでこのメールは詐欺メール故に偽装の疑いがあります。
その辺りを含め、次の項で見ていくことにしましょう。
IPアドレスの割り当てが無いドメイン では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「amazons-account-update@ryxdd.cn」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
アカウント名に”amazons-account-update”なんて見えますから、この差出人は
他にもAmazonを騙った詐欺メールにも加担しているようですね! | | Message-ID:「917C09AF84378C9A98C04842EBAF3C35@feia」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from feia (unknown [121.33.128.145])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | 先に書いた通り”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。 ※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する では、メールアドレスにあったドメイン”vpass.ne.jp”について調べてみます。
これによると、このドメインは現在IPアドレスに割当てられていない模様。
IPアドレスに割り当ての無いドメインでメールの受送信はできませんから、このメールアドレスは
やはり偽装されているようです。
これでアドレス偽装は確定。
この方にはしっかり罪を償っていただかなければなりませんね! 「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”121.33.128.145”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 ピンが立てられたのは、中国広東省広州市付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
「身の知らないご入金」なんて使う? では引き続き本文。 ご注意:
三井住友銀行より、ご指定口座への異常振込入金についてお知らせします。
身の知らないご入金の場合、直ちに下記へアクセスし、払い戻しの操作お願い致します。 弊社では第三者によるカード犯罪を未然に防止し、会員の皆さまに安心してカードをご利用いただくために、
カードご利用の際に、お客さまの信用状況、ご利用可能額に関係なく、カードのお取引を保留させて
いただく場合がございます。 ここからログインし、画面の指示に従ってください。 ログイン この間、ご迷惑をおかけしますがご容赦ください。 | 「身の知らないご入金」や「お客さまの信用状況」などとあまり使わない言い回しが見られますので
少し違和感を感じざるおえません。 このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「ログイン」って書かれたウグイス色のボタン張られていて、リンク先の
URLがこちらです。
 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。
このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。 このURLで使われているドメインは、”gugn85hjfkl.club”
このドメインにまつわる情報を取得してみます。
登録者の情報は、ほとんどプライバシー保護でマスクされていますね。
このドメインを割当てているIPアドレスは”198.211.24.161”
このIPアドレスを元にその割り当て地を確認してみます。
ピンが立てられのは、ロサンゼルス近郊のサンタクララ川のほとりにあるサンタクラリタ付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。
ウイルスバスターに一旦はブロックされましたが、危険を承知で進んだ先で開いたサイトは…
中国語で何やら書かれていますね。
このアイコンから想像するに、どうやらうまく接続できなかったようです。
Google先生にお願いして中国語を翻訳してみました。
やはりリンクには接続できなかったようです。 詐欺サイトは、捜査の手が及ぶのを恐れ、えてして時々姿をくらまします。
こうすることで少しでも捜査の手から逃れようとしているのです。
先程ご覧いただいた通り、IPアドレスとドメインは紐づけされたままなのでサイトは簡単に
復活することが可能な状態です。
まとめ 三井住友銀行を騙る詐欺メールは、Amzonの次に多いとされています。
実際に私の所にも毎日大量に漂着しているのも事実ですし、皆さんの所へも届いていることと思います。
またこれからも大量に届くでしょう。 恐ろしいことに、今、こうしている間にもいくつものフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 