「みずほ銀行」を名乗るメール
2週連続で週末の台風が去り、少し秋めいてきましたね。
さて今回は、「みずほ銀行」を名乗ってフィッシング詐欺メールのお話です。
そのメールがこちら。
何か小難しいこと書いてありますね。(;^_^A
マネーロンダリングとは、犯罪など不法に入手した資金を架空口座や他人名義口座などを利用して
転々と移転することで出所を分からなくする試みを言います。
で、私がそれをしていると??
それはあり得ません、だって「みずほ銀行」さんに口座持ってないですもん!(笑)
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。
件名は
「[spam] お取引目的等のご確認のお願い」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
差出人は
「"みずほ銀行" <info@mizuhobank.co.jp>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
上手く化けたつもりしょうか?…
”mizuhobank.co.jp”は確かに「みずほ銀行」さんのドメインですが、件名に”[spam]”とあるので
このメールは詐欺メール故に偽装の疑いがあります。
その辺りを含め、次の項で見ていくことにしましょう。
”Return-Path”で意外な事実が発覚!
では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。
| Return-Path: 「amazona-account-update@9ijco.cn」
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
ほら、もうボロが出ちゃいましたね!
「みずほ銀行」さんには似ても似つかぬドメインになってしまっています。
もう、これでメールアドレス偽装確定です
それに”amazona-account-update”なんてアカウント、もしかしてあなたAmazonの
ギッシング詐欺メールにも加担しているでしょ?(笑)
|
| Message-ID:「0A7B0EF85E8764727A169D5E1A8719A3@ka」
”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
|
| Received:「from ka (unknown [121.33.128.106])」
”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
|
では、”Return-Path”にあったドメイン”9ijco.cn”について調べてみます。
「対応するIPアドレスがありません」って事なので、このドメインは現在利用できない状態。
利用できないドメインのメールアドレスは利用できないので、これも偽装です!
「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”121.33.128.106”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。
ピンが立てられたのは、中国広東省広州市付近です。
それにしてもフィッシング詐欺メールは、中国絡みが多いですね!
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
騙されたくても騙されようがありません
では引き続き本文。
| 平素より、みずほ銀行をご利用いただきありがとうございます。
みずほ銀行では2019年6月より金融庁の「マネー・ローンダリング及びテロ資金供与対策に関する
ガイドライン」に基づき、お客さま情報やお取引の目的等を定期的に確認させていただいております。
お客さまにはお手数をおかけいたしますが、何卒ご理解とご協力をお願い申しあげます。
※なお、確認させていただく時期はお客さまごとに異なります。
※2022年09月25日までに「▼ご本人確認」より、お取引の目的等のご確認をお願いいたします。
▼ご本人確認
※回答が完了しますと、通常どおりログイン後のお手続きが可能になります。
※一定期間ご確認いただけない場合、口座取引を一部制限させていただきます。
▽お客さま情報等の定期的なご確認にご協力ください |
もっともらしい事が書かれていますが、何と言われようが冒頭に書いたように私はこの銀行に
口座を持っていませんから、騙されたくても騙されようがありません。
このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「▼ご本人確認」って書かれたところに張られていて、リンク先の
URLがこちらです。
このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。
おっと、まだ「未評価」のようです。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。
このURLで使われているドメインは、”qwoicvj23b.icu”
このドメインを割当てているIPアドレスを取得してみます。
このドメインを割当てているIPアドレスは”107.173.167.64”
このIPアドレスを元にその割り当て地を確認してみます。
ピンが立てられのは、ワシントンDC付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。
無防備に放置されているであろうリンク先の詐欺サイトに、安全な方法で訪れてみました。
まずはChromeが接続をブロックしてきました。
危険を承知で先に進んでみます。
するとこのようなページが表示されました。
「Service Suspended(サービス停止中)」と書かれています。
詐欺サイトは、捜査の手が及ぶのを恐れ、えてして時々姿をくらまします。
こうすることで少しでも捜査の手から逃れようとしているのです。
先程ご覧いただいた通り、IPアドレスとドメインは紐づけされたままなのでサイトは簡単に
復活することが可能な状態です。
まとめ
今回に限らず、口座の無い銀行から毎日たくさんのメールが届きますよね。
ブログネタには事欠かないものの迷惑極まりありません。
まあでもこの先もずっと続くことでしょう…
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |