中国の臭いがプンプンする
携帯電話会社の「au」から、このようなメールが私の私用メールアドレスに届きました。
書かれているのは、月間通信料超過で速度制限され、このまま使い続けると超過料金が発生するので
リンクから解除の手続きを行うように促しています。
確かに私のスマホは「au」さんと契約していますが、登録メールアドレスはこのアドレスではなく
Gmailで登録してありますからここに届くはずがありません。(笑)
ところで、皆さんこれ読めます?
ニュアンスから「直」じゃないかとは思うのですが、「検査」の「査」の字にも見えますよね?
もしかして差出人は海外の方?
下のスクショは、このメールをシンプルHTMLに表示を切り替えたものです。
HTMLなら「au」のバナーが表示されていた部分にそのバナーの名前が表示されています。
拡大してみると…
もうこれは絶対に差出人は日本人じゃありませんよね!
それに、宛名が「auのお客様」なんて。。。(^^;
本当の「au」なら、私の氏名を知っているはずですからこのような宛名はおかしいです。
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。
件名は
「【重要】auサポートのご利用確認のお願い。メール番号:M15」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
いつものようにこの件名に”[spam]”とスタンプが付けられていませんが、私用のメールサーバー
にはスパムスタンプと呼ばれるセキュリティーが備わっていないからです。
でもこれはどこからどう見ても迷惑メールの類です。
差出人は
「au.com <noreply@au.com>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
上手く化けたつもりしょうか?…
”au.com”は確かに「au」のドメインですが、件名に”[spam]”とあるのでこのメールは
詐欺メール故に偽装の疑いがあります。
その辺りを含め、次の項で見ていくことにしましょう。
へぇ~っ、「au」がロシアからね。。。
では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。
| Return-Path: 「noreply@au.com」
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
|
| Message-ID:「20220923221239384664@au.com」
”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
|
| Received:「from unknown (HELO noreply0.au.com) (45.89.229.203)」
”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
|
この差出人は、あくまで自分のドメインは”au.com”と言い張るようですね。
ならばその鼻っ柱をへし折ってやりましょうか!
先に書いた通り”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する
では、メールアドレスにあったドメイン”au.com”について調べてみます。
当然ちゃんと「KDDI CORPORATION」さんの持ち物です。
そして”175.129.0.108”がこのドメインを割当てているIPアドレス。
本来同じでなけれならない”Received”のIPアドレスが”45.89.229.203”ですから全く異なります。
これでアドレス偽装は確定。
この方にはしっかり罪を償っていただかなければなりませんね!
「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”45.89.229.203”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。
ピンが立てられたのは、ロシアモスクワのゼレノグラード付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようですが
果たして、国内のトヨタ系携帯電話会社が「ロシア」からメールを送るでしょうか?(笑)
「au」がこんな長ったらしいドメインでサイトを開くかな?
では引き続き本文。
| auのお客様
いつもauをご利用いただき誠にありがとうございます。
お客様の月間のデータ通信量がご利用中のプランの上限を超過したため、通信速度を
低速に制限しております。
通信速度制限中にそのまま使い続けた場合、超過料金は発生しますので、
早めに解除手続きの程よろしくお願い致します。予めご了承ください。
【ご会員ID】
———————————————————–
・会員ID :***@*****.***
———————————————————–
⇒アカウントを更新してください |
以前にも同じようなメールを何度かご紹介したことがありますね。
書かれている内容を少し変化させてきています。
このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「⇒アカウントを更新してください」って書かれたところに張られていて、リンク先の
URLがこちらです。
このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。
えっ、まさかの安全宣言?!
これは見逃すことは到底できません。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。
このURLで使われているドメインは、サブドメインを含め”connecct-login.beltwayflorist.com”
”au.com”なんてとても無自覚価値の高いドメインをお持ちの「au」がこのように長ったらしい
ドメインでサイトを開くなんて全くもって考えられませんよね!
このドメインにまつわる情報を取得してみます。
申請は、中国北京市から行われていますが、それ以外の項目は全てプライバシー保護でマスクされています。
このドメインを割当てているIPアドレスは”155.94.144.91”
このIPアドレスを元にその割り当て地を確認してみます。
ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーに程近い場所。
フィッシング詐欺サイトは、この付近に密集しています!
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。
マイクロの「サイトセーフティーセンター」の状態だと、ノーマークで無防備に放置されているであろう
詐欺サイトへ、安全な方法で訪れてみました。
ウィルスバスターにもChromeにも全くブロックされることもなく表示されたのは「auID」への
ログイン画面です。
本物のようですが、もちろん偽サイトですから絶対にログインしないでください!!
この先では、個人情報やクレジットカードの情報などを入力させて、それらの情報を詐取する
フォームが表示されます。
まとめ
前もそうでしたが、「au」の詐欺メールが届き始めると、一時流行病のようにかなりの数が
届くようになります。
さて、今回はどうなるでしょうか?
今回のメールでは、差出人のメールアドレスが偽装されているためついつい騙されてしまう方も
いらっしゃるかもしれませんね。
こういったメールのリンクを押す際は、必ずリンク先のURLにあるドメインが本当に自分が接続したい
先の物かどうかお確かめください。
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |