組織名くらいちゃんとしましょ! 「ETC利用照会サービス事務局」を名乗る「ETC総合情報ポータルサイト」と書かれた
フィッシング詐欺メールが届きました。
読まれた方は分かると思いますが、日本語に難ありで何言っているのか良く分からないメールです。 では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は
「[spam] ETCサービスを中止いたします」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
突然メールを送ってきて「中止」ってあり得ない話ですよね?
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「”ETC利用照会_” <admin@ml.etc-meisai.jp>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 差出人は「ETC利用照会サービス事務局」ですよね?「ETC利用照会_」って自身の組織名を
間違うなんて… 上手く化けたつもりしょうか?…
”etc-meisai.jp”は確かに「ETC利用照会サービス事務局」さんのドメインですが、
件名に”[spam]”とあるのでこのメールは詐欺メール故に偽装の疑いがあります。
その辺りを含め、次の項で見ていくことにしましょう。
一瞬でバレる偽装 では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「lfh@51daanma.com」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
直ぐに化けの皮が剥がれました。
本当の「ETC利用照会サービス事務局」さんなら、ここのドメインも”etc-meisai.jp”
でなければなりませんから、この時点で偽装の容疑が高まりました。 | | Message-ID:「202209302057364244753@51daanma.com」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from 51daanma.com (unknown [118.193.62.251])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | これら「フィールド御三家」を見た通り、既に偽装は確定です。
これは、特定電子メール法違反となり処罰の対象とされます。 ※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する では、「フィールド御三家」にあったドメイン”51daanma.com”について調べてみます。
申請の情報は何も書かれていないので、登録された国も分かりません。
唯一手掛かりになるのは”118.193.62.251”と言うこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと全く同じなので、これは偽装されていないようです。 「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”118.193.62.251”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。
このIPアドレスは、既に危険なものとしてブラックリストに登録されて、脅威レベルは「高」
その詳細はメールによるサイバーアタックとされています。 そしてピンが立てられたのは、「台湾桃園国際空港」付近です。
IPアドレスからの抽出なのでかなりアバウトな位置ですが、このメールは、この付近に設置された
メールサーバーを介して私に届けられたようです。
日本語が崩壊してる では引き続き本文。 平素よりET
C利用照会サーピスをご利用いただき誠にありがとうございます。 近いはシステムをアップグレード更新する予定なります。 ETCアカウントでは、アカウントアラートが検出されます。 あなたのアカウントのいくつかの情報が無効になっている可能性があります。 申し訳ございませんが、ETCザービスを中止いたします。
このサービスを引き続き使用したい場合は、アカウント情報を更新する必要があります。
下記のリンクをクリックして更新してください。 会員情報の管理ページで確認 ご不明な点につきましては、お手数ですが、ETC利用照会サービス事務局にお問い合わせください。
おのいかなる不便と憂慮に対して、深くお诧び申し上げます。
ご理解いただきましたことを感謝申し上げます。 *48時間以内にあなたのアカウント情報を更新しない場合、私たちは残念ながらあなたにお知らせします。
私たちはあなたのアカウントを無効にしなければなりません。*このメールは送信専用です。
このアドレスに送信いただいても返信いたしかねますので、あらかじめご了承願います。
*このメールも重要なシステム通知としてメールを受けたくない顧客に送信されます。 | できるだけ忠実にペーストしましたが、適当な位置で改行を入れておきました。
ご覧いただいた通り、日本語が崩壊しています。(笑)
このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「会員情報の管理ページで確認」って書かれた黄色いボタンに張られていて、
リンク先のURLがこちらです。
 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。
このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と「不正プログラム配信」と書かれています。 このURLで使われているドメインは、サブドメインを含め”www.etrc-etc.co-fiannds.13800138234.cn”
出ました、中国ドメイン!必ず絡んできますね!!
このドメインにまつわる情報を取得してみます。
申請者は、私には読めない文字を含む漢字三文字の氏名の方で、申請を代行したのは中国のIT企業の
アリババです。 このドメインを割当てているIPアドレスは”138.197.99.152”
このIPアドレスを元にその割り当て地を確認してみます。
 ピンが立てられのは、アメリカニュージャージー州クリフトン付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。 開いたのは予想通り「ETC利用照会サービス」へのログインページ。
もちろん偽サイトですから絶対にログインしないでください!
まとめ 相当ETCを利用する方ならあるのかも知れませんが、個人の方でETC利用照会サービスを利用する方って
ほんの一握りなのではないかと想像します。
なので、このようなメールを送られても引っかかる人は少ないんじゃないでしょうか?
それも、何度も何度も送ってくる神経を疑います。 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 