『詐欺メール』「税務署からの【未払い税金のお知らせ】」と、来た件

★フィッシング詐欺解体新書★

国税庁が「日本旅行」さんのメールアドレスで？！(笑)

最近ちょくちょく見かける国税庁に成りすましたフィッシング詐欺メール。
今朝もこのようなメールが届いていましたのでご紹介しようと思います。

色々落書きしましたが、黄色い部分は無意味な半角スペース。
ピンクに塗りつぶした部分は、文字に違和感のある部分。
水色の部分は、「？」が書かれています。
無意味な半角スペースは、フィッシング詐欺メールあるあるで、結構な確率で見られます。
ピンクに塗りつぶした文字をそれぞれ拡大してみるとこんな感じです。

	これだけ見ているとそれほど違和感はありませんが、他の部分でと明らかに違うフォント が使われている部分もあるので、どちらかがどこからかコピペされたっぽく感じます。
	これは以前のブログでもご紹介しましたが、中国ではこの前の文字「客」とこの文字を 合わせて「額(がく)」と読むようです。 ということは、差出人はどこの方か分かりますよね？
	これは、後ろの文字「権」から想像するに「債権」の「債」ではなかろうかと思います。 これもどうやら中国で使われている漢字のようです。

そんなことはさて置き、続いてこのメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「[spam] 税務署からの【未払い税金のお知らせ】」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。

だいたいe-Taxを利用したことの無いのに国税庁や税務署が私のメールアドレスを
知りうるはずがないので、そんなところからメールなんて送られてくるはずがありません！

それにこの件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”国税庁” <info@nta.co.jp>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

ちょっと待った！国税庁のドメインは”nta.go.jp”のはず。
この”nta.co.jp”ってドメイン、「日本旅行」さんのドメインではないですか！
馬鹿にしています！！(# ﾟДﾟ)

差出人のメールドメインは「163data.com.cn」だった

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

「日本旅行」さんのドメインを使っている時点で明らかな偽装ですが。
これは特定電子メール法違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する
この方にはしっかり罪を償っていただかなければなりませんね！

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”61.140.210.1”は、差出人が利用しているメールサーバーのもの。
このIPアドレスにドメインが割当てられていないかと調べると…

このIPアドレスには”163data.com.cn”なんてドメインが割当てられているようです。
このドメイン”163data.com.cn”について検索してみると、良からず情報ばかり出てきます。(;^_^A

このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられたのは、中国広東省広州市にある「人民公園」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

メールとサイトで滞納金額に違いが？！(笑)

では引き続き本文。

ケチの付け所についてはブログの最初の方をご覧いただくとして、このメールは、フィッシング詐欺メール
なので詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に直書きされていて、リンク先のURLがこちらです。

あれ？”nta.go.jp”って、国税庁の正規ドメインじゃん、と安易にクリックしてはいけませんよ！
って、これリンク偽装されています。
本当のリンク先がこちらのURL。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

おっと、まだ「未評価」のようです。

このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。

このURLで使われているドメインは、”gawe34lkfk.rest”
このドメインにまつわる情報を取得してみます。

登録者情報は全てプライバシー保護でマスクされています。(汗)

このドメインを割当てているIPアドレスは”43.226.26.192”
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のカリフォルニア州交通局付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

無防備に放置されているであろう詐欺サイトに安全な方法で訪れてみました。
開いたのは国税庁のサイトっぽい「差押最終通知」と記載のあるポップアップ画面。

メールにあったおかしな漢字がここでも使われていますね。
こんな感じが使われているサイトを誰が信じますか？
あれれ？メールでは滞納金って40,000円じゃありませんでしたか？
もう目茶苦茶です…(笑)

まとめ

最近ちょこちょここの税務署に成りすますフィッシング詐欺メールが見られます。
国の機関を騙るなんて言語道断！絶対に許すことはできませんね！！
日本の威信を掛けしっかりと取り締まっていただきたいものです。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;