『詐欺メール』アプラスから「[NETstation*APLUS]会員のお知らせ」と、来た件

アプラスに成りすます

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

1. ★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

何の理由も無く「本人確認」って

迷惑メールなどがあまり来ない私用メールアドレス宛に「アプラス」に成りすました
フィッシング詐欺メールが届きました。

最近よく見掛ける内容で、突然何の理由も無く「本人確認」が必要になったのでリンクから本人確認を
行うよう促すものとなっています。
因みに私、「アプラスカード」なんて持っていませんけどね。(笑)

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「[NETstation*APLUS]会員のお知らせ」
なんだか違和感のある件名ですね。
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
仕事用のサーバーなら件名には”[spam]”とスタンプが付けられているのですが、私用サーバーには
そのような機能がありませんので件名だけで迷惑メールの類とは判断しかねます。
この”[spam]”と言うスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で
これが付いているものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「netstation <netstation@aplus.co.jp>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

上手く化けたつもりしょうか？…
”aplus.co.jp”は確かに「アプラス」さんのドメインですが、私が思うにこのメールは
詐欺メールの疑いがありますから偽装されているものと思われます。
その辺りを含め、次の項で見ていくことにしましょう。

”Return-Path”や”Message-ID”まで偽装

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「aplus-co-jp@wtkzusi.cn」

ほらほら、ドメインが”aplus.co.jp”じゃなくて”wtkzusi.cn”なんて中国の国別ドメインの
メールアドレスが記載されています。
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「20221023233857645326@wtkzusi.cn」

ここにも”wtkzusi.cn”なんてドメイン見えていますよね。
”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from yw (unknown [154.204.28.47])by wtkzusi.cn」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

もうこの時点でメールアドレスの偽装工作は明白です！
これは特定電子メール法違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、対応するIPアドレスがありませんにあったドメイン”wtkzusi.cn”について調べてみます。

「対応するIPアドレスがありません」と書かれているのでこのドメインはどのIPアドレスにも
割り当てられていません。
IPアドレスに割当てられていないドメインのメールアドレスは当然使えませんから
”Return-Path”や”Message-ID”の偽装も確定です。

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”154.204.28.47”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられたのは、香港の「Central and Western(中西区)」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

詐欺サイトは常夏の楽園に設置

では引き続き本文。

「本人認証サービス」受付のお知らせ

いつも会員専用ネットサービスをご利用いただき、誠にありがとうございます。
「本人認証サービス」のご登録が必須となります。
※「本人認証サービス」とはインターネット上でのお買い物をより安全に行うための追加認証サービスです。

対象商品
【NETstationAPLUS】（クレジットカード）
※本人認証サービスの反映には、処理の状況により最大60分程度かかります
会員専用ネットサービスログイン
h**ps://www.netation-aplus.com/signup.php(直リンク防止のため意図的に文字を変えています)

上記 URLは24時間有効です。24時間以上経過した場合には、本登録のお手続きが
できません。

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に直書きされていて、リンク先のURLがこちらです。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

このように既に危険サイトと認識されており、ブラックリストに登録済み。
このサイトは「詐欺」に加え「不正プログラム配信」も行っているようです。

このURLで使われているドメインは、”netation-aplus.com”
このドメインを割当てているIPアドレスを取得してみます。

このドメインを割当てているIPアドレスは”107.6.255.106”
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられのは、ハワイのホノルルにある「ハワイ国際空港」付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

おっと、ちょっと遅かったか…
詐欺サイトの旬はとても短いもので、残念ながら閉鎖されていました。

詐欺サイトは、捜査の手が及ぶのを恐れ、えてして時々姿をくらまします。
こうすることで少しでも捜査の手から逃れようとしているのです。
先程ご覧いただいた通り、IPアドレスとドメインは紐づけされたままなのでサイトは簡単に
復活することが可能な状態です。