いったい何度請求金額が確定されるのでしょうか? 先日、先週からの傾向から今週のトレンドは「イオン」かもとお話したのですが、
ふたを開けてみれば、このように週の前半は「AMERICAN EXPRESS」を騙るものが突出してきました。
この傾向はいつまで続くのでしょうか?
って言うか、どれだけクレカを持っててどれだけ請求金額が確定されるのでしょうか?(笑)
 さて、話は変わって今回ご紹介したいのはこちらのイオンクレジットに成りすましたメール。
書いてあるのは、例によって第三者不正利用を疑う内容。
カードが不正利用された疑いがあるので、リンクを辿って利用確認を促すものです。 では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は
「[spam] 【緊急の連絡 】イオンカード ご利用確認」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「”AEON” <gtdbtc@vnsqkqk.cn>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 いつもお話している通り「イオン」さんには、”aeon.co.jp”って正規ドメインをお持ちです。
正規ドメインが有るのにそれ以外のこのようなでたらめな中国のドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。
発信元サーバーはロンドンにあり! では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。 では、メールアドレスにあったドメイン”vnsqkqk.cn”について調べてみます。
このドメインの持ち主は、私には読めない文字を含む漢字三文字の氏名の方。
「成都西维数码科技有限公司」と言う中国成都にあるレジストラが登録を担っているので
恐らくこの方は中国人。 そして”212.86.105.153”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと全く同じですからアドレス偽装は無いようです。 「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”212.86.105.153”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 珍しいですね、ピンが立てられたのは、「London」付近です。
詐欺メールの調査ではあまり見かけない国です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
姑息に無料のサブドメイン使ってるし では引き続き本文。 テンプレートを使わずしっかり作り込まれていますね。
でもこのメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「AEONCARDアカウントのご利用確認のお知らせについてはこちら」って
書かれたところに張られていて、リンク先のURLがこちらです。
この”https://translate.google.com/translate?”から始まるこのURL、実は後半にある別のURLを
Googleの翻訳サイトで翻訳させるURLなのです。 でも、これは釣りであって、このURLに接続するとリダイレクト(自動転送)で別サイトに飛ばされる
仕組みになっています。
そのリダイレクト先のURLがこちらです。
もちろんこのURLにも「イオン」を彷彿とされる記述はどこにも見当たりません。 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。
おっと、まだ「未評価」のようです。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。 このURLで使われているドメインは、サブドメインを含め”addssitiona-adminss.zzux.com”
このドメインにまつわる情報を取得してみます。
 申請者は、無料でサブドメインを貸し出すことで有名なアメリカの「ChangeIP」さん。
どうやらリンク先サイトの管理者は、姑息にもここで無料のサブドメインを入手して
サイトを運営しているようです。 このドメインを割当てているIPアドレスは”34.85.17.218”
このIPアドレスを元にその割り当て地を確認してみます。
地図と住所に乖離が見られますが、ピンが立てられのは、杉並区和泉2丁目公園付近。
そして、利用されているプロバイダーは「Google LLC」
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 トレンドマイクロの「サイトセーフティーセンター」で「未評価」とされているので、無防備に放置されて
いるであろう予想しながら安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。
でも、Googleでは既に危険なものとしてブラックリストに登録されているようで、Chromeがしっかり
接続をブロックしてきました。
 危険を承知で構わず先に足を進めると、開いたのは「AEON CARD」と書かれたログインページ。
もちろん偽サイトですから絶対にログインしないでください。
もし万が一間違ってログインしてしまった場合は、大至急「お客様サポート」に連絡してください!
まとめ そう言えば最近「三井住友カード」に成りすますフィッシング詐欺メールが少なくなりました。
その分「イオン」や「AMERICAN EXPRESS」に成りすますものが増えているので総数は変わっていない
のかも知れませんが… 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
