ドメイン、間違っていますよ!
「えきねっと」の名を名乗るフィッシング詐欺メールも多く見られますが、
こちらの「ETC利用照会サービス」さんに成りすますものも多くあります。
今朝もこのようなメールが届いていました。
全角のETCと半角のETCってどのように使い分けているのか、昔からず~っと気になっているのですが
皆さんはお分かりになりますか?(笑)
書かれているのは、ETCが異常に2階利用されたからリンクから確認を促すもの。
でも、異常に使われたってどうやって判断しているのでしょうね?
それ以前に、「ETC利用照会サービス」さんにユーザー登録なんてした記憶ないし
「ETC利用照会サービス」さんが私のメールアドレス知ってるはずがないと思うのですが…
で、リンクボタンに「確認用アカウント」って書かれているんだけど、「アカウント確認用」が
正しいと思うのですが…(;^_^A
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。
件名は
「[spam] ETCサービス通知【重要:必ずお読みください】」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
「ETC」が全角文字なのはフィッシング詐欺メールの”あるある”です。
いけないわけじゃないけど、あまり使いませんよね?
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
差出人は
「"ETC利用照会サービス事務局" <admin@mla.etc-misa.jp>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
よ~く見るとドメインが”etc-misa.jp”ですよね?
「ETC照会サービス事務局」さんのドメインは”etc-meisai.jp”なんですけどね…
上手く化けたつもりしょうけどね。(笑)
”etc-misa.jp”は、世の中に存在しないドメイン
では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
やるまでないとは思いましたが、一応、差出人のメールアドレスにあったドメインについて
確認してみました。
やはり、このドメインは現在世の中に存在しないようです。
次に、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。
| Return-Path: 「ewphvvl@eurotime.com.cn」
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
もう早速”.cn”なんて中国ドメインですか。
もうこれでアドレス偽装確定です!
|
| Message-ID:「202209151525360767518@eurotime.com.cn」
”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
|
| Received:「from eurotime.com.cn (unknown [118.194.252.177])」
”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
|
では、メールアドレスにあったドメイン”eurotime.com.cn”について調べてみます。
”118.194.252.177”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスがと同じですからこの方のメールアドレスは”ewphvvl@eurotime.com.cn”で
正しいようです。
「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス””は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。
ピンが立てられたのは、台北にある「台湾桃園国際空港」付近です。
よく見ると、このIPアドレスの持つ脅威レベルは「高」で、脅威の詳細は「サイバーアタックの攻撃元」
攻撃対象は「メール」とされていますから、悪意のある物として周知されているようです。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
履歴が本当なら目茶苦茶走ってます。
では引き続き本文。
| ETCアカウント異常
ETCサービスをご利用いただきありがとうございます最近、ETCが異常に2回使用されました。
ご利用明細を確認する。
利用年月日 道路名 料金所名
22/09 /14 9:56 道央自動車道 苫小牧東本線
22/09/14 16:33 第三京浜道路 玉川本線
確認用アカウント
*自分で使用している場合は、このメールを無視してください。
自分で使用していない場合は、リンクをクリックしてキャンセルしてください* * ETC公式サイトにアクセスして更新します |
どうやら、私のETCは、ここから遠く離れた北海道と関東で同じ日に利用されたようです。
しかし、すごい移動量ですね。
朝10時頃に道央で利用し、夕方には二子玉川付近に居るんですもんね。(笑)
このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「確認用アカウント」って書かれたところに張られていて、リンク先の
URLがこちらです。
このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。
このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。
このURLで使われているドメインは、サブドメインを含め”www.gointhe.etac-co.jp.changzhi.xin”
このドメインにまつわる情報を取得してみます。
申請者は、中国福建省の方で、私には読めない文字を含む漢字三文字の氏名の方。
このドメインを割当てているIPアドレスは”207.154.251.54”
このIPアドレスを元にその割り当て地を確認してみます。
珍しいですね、ピンが立てられのは、ドイツの「フランクフルト・アム・マイン」付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。
危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。
開いたのはおなじみの「ETC利用照会サービス」へのログインページ。
もちろん偽サイトですから絶対にログインしないでください。
まとめ
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |