爽やかな気分が一転 沢山の爪痕を残した台風14号が通過した後、一気に秋の空気と入れ替わり爽やかな青空が広がる
名古屋周辺ですが、皆様の所はいかがでしょうか?
このまま週末の3連休まで晴天が続けば良いと思うのですが、早くももう次の熱帯低気圧が
本州に狙いを定めているとかで、残念なお天気になりそうですね。 さて話題は変わって、例によってフィッシング詐欺メールの話題。
今回は「新生銀行グループ」の「アプラス」に成りすましたフィッシング詐欺メールのお話。
そのメールがこちらです。
内容は、いつものように第三者不正利用の疑いがあるのでカード利用を制限したので
制限を解除するためにリンクから利用確認を促すもの。 では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は
「[spam] 【カードご利用情報のご案内】会員登録情報期限切れ通知【Luxury Card™ 】」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
私、こちらのカードを持ち合わせていないので良く分かりませんが、「Luxury Card(ラグジュアリーカード)」は
アプラスカードのグレードでしょうか? この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「株式会社アプラス <netstation@netstation.aplus.jp>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 上手く化けたつもりしょうか?…
”aplus.jp”は確かに「アプラス」のドメインですが、公には”aplus.co.jp”が使われているようです。
それに件名に”[spam]”とあるのでこのメールは詐欺メール故に偽装の疑いがあります。
その辺りを含め、次の項で見ていくことにしましょう。
差出人は「WebARENA」に何らかの関りがある人物 では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「netstation@netstation.aplus.jp」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「DB79F2C646F57D9E25C7E7FB7EC58AC9@CRZ.aplus.co.jp」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from mail0.netstation.aplus.jp (unknown [164.70.121.231])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | この差出人は、あくまで自分のドメインは”aplus.jp”と言い張るようですね。
ならばその鼻っ柱をへし折ってやりましょうか! 先に書いた通り”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。 ※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する では、メールアドレスにあったドメイン”aplus.jp”について調べてみます。
 当然ちゃんと「株式会社 アプラス」さんの持ち物です。
そして”164.46.114.147”がこのドメインを割当てているIPアドレス。
本来同じでなけれならない”Received”のIPアドレスが”164.70.121.231”ですから全く異なります。
これでアドレス偽装は確定。
この方にはしっかり罪を償っていただかなければなりませんね! このIPアドレスを逆引きして、ドメインが割当てられていないか確認してみます。
どうやら「WebARENA」のドメインが割り当たっているようですね。
「WebARENA」は、NTTPCコミュニケーション系のレンタルサーバーですが、差出人は「WebARENA」に
何らかの関りがあるようですね。 「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”164.70.121.231”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。
ピンが立てられたのは、「東京都庁」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
危険!詐欺サイトは、無防備な状態で放置されていた! では引き続き本文。 いつも「Luxury Card™カード」をご利用いただき、ありがとうございます。
平素より弊社カード及びサービスをご利用いただき、 誠にありがとうございます。
本日、確認が必要な取引がありましたので、 弊社より一時的にお客様カードの
ご利用を制限させていただき、 ご連絡させていただきます。
そのため、以下のリンクにアクセスして、 カードの使用を確認してください。
当社は、お客様が確認するまで、 引き続きカードの使用を制限する場合があります 以下にリンクURLをご用意しておりますので、ご活用ください。 > NETstationAPLUSのログインはこちら
※「NETstation*APLUS」へログインし、「ご本人さま確認」後、「お客さま情報の変更」画面に進みます。
> NETstationAPLUSのログインはこちら
※ご確認をいただけない場合、セキュリティ上の観点からご利用制限をかけさせていただくことを予めご了承下さい。
※受付ベージの有効期限は受付日時から24時間以内です。
この期限内に手続きを行ってください。
※ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何とぞご理解賜りたくお願い申しあげます。 | このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは青文字の所に張られていて、リンク先のURLがこちらです。
 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。
おっと、まだ「未評価」のようです。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。 このURLで使われているドメインは、サブドメインを含め”netstation.aplstation-confirm.com”
このドメインにまつわる情報を取得してみます。
あらら、全部筒抜けですね。(汗)
申請者は、神奈川県横浜市在住の方でした。 このドメインを割当てているIPアドレスは”172.104.75.146”
このIPアドレスを元にその割り当て地を確認してみます。
地図と地名がマッチしていませんが、地図を正解だとするとピンが立てられのは「東京都杉並区和泉」付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 無防備に放置されているであろうリンク先のサイトへ、安全な方法で訪れてみました。
ウィルスバスターにもChromenimoブロックされることなくあっさり開いたのはアプラスカード会員
専用のウェブサイト「NETstation*APLUS」へのログインページ。
もちろん偽サイトですから絶対にログインしないでください!
まとめ それっぽい差出人のメールアドレスでしたから、もしかして騙されてしまう方もいらっしゃるのかも
知れませんね。
メールアドレス以外にもリンク先のサイトのドメインも必ず確認することを忘れずにお願いします。
ここは偽装のしようがありませんからね! 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 