『詐欺メール』「【重要】会員情報変更および退会に関するお知らせ」と、来た件

詐欺メールと言うより迷惑メールの類かも
※ご注意ください!
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

「Amazon」?それとも「えきねっと」?

何とも不思議なメールが届いたのでご紹介しようと思います。
そのメールがこちらです。

パッと見ると、よくある「えきねっと」を騙った「個人情報を更新しないと自動退会処理されるよ」って
メールのようなのですが、よく見ると差出人部分がなんと「Amazon」になっているではありませんか!
まさかJR東日本が運営する「えきねっと」のユーザー管理を「Amazon」が担っているということ
なのでしょうか?…(;^_^A

では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。

件名は
「[spam] 【重要】会員情報変更および退会に関するお知らせ」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「Amazon <amazon@sicrayanmidilli.com>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

「Amazon」だろうが「えきねっと」だろうが構いませんが、どちらにしても"sicrayanmidilli.com
なんてドメインはどちらにも関わりの無いもの。
この差出人は、人をだますにしてもこれじゃでたらめすぎて小学生でも騙すことができませんよ。

IPアドレスが割当てられていないドメインで

では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「amazon@sicrayanmidilli.com」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
Message-ID:「1EC0F9F72FB14222DE159738DCE132C8@fjtfbtsa」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
Received:「from mail3.sicrayanmidilli.com (unknown [149.30.220.196])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

この差出人は、あくまで自分のドメインはsicrayanmidilli.com”と言い張るようですね。
ならばその鼻っ柱をへし折ってやりましょうか!

先に書いた通り”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”sicrayanmidilli.com”について調べてみます。

ドメイン自体は存在するようですが、「対応するIPアドレスがありません」って事なので
現在使うことができないドメインのようです。
使えないドメインのメールアドレスでメールの受送信はできませんのでアドレス偽装は確定。
この方にはしっかり罪を償っていただかなければなりませんね!

「フィールド御三家」の中で一番重要なのは”Received
これを紐解けば差出人の素性が見えてきます。
Received”のIPアドレス”149.30.220.196”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその危険度と割り当て地を確認してみます。

まずこのIPアドレスの持つ脅威レベルは「高」で、脅威の詳細は「サイバーアタックの攻撃元」
攻撃対象は「メール」とされていますから、悪意のある物として周知されているようです。
位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上で
ご覧ください。
ピンが立てられたのは、「香港」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

よく読むと、日本語がお花畑…

では引き続き本文。

日頃より「えきねっと」をご利用いただきありがとうございます。
11月29日にセキュリティシステムを全面的に更新、しました7日以内にログインしていない方は、メール受信後、ホームページをご覧いただき、長期間ログインしていない方は個人情報を更新してください、今後の活用のために。12月1日までにご記入ください。ご記入がない場合は、退会手続きをとらせていただきます。

→ログインはこちら

ご利用のお客さまにはご迷惑をおかけしまして誠に申し訳ございませんが、
何卒ご理解賜りますようお願い申し上げます。

===============================
お問合せ先
えきねっとサポートセンター
TEL 050-2016-5000
営業時間 8時00分~22時00分

「えきねっと」
サイト運営・管理
JR東日本ネットステーション
===============================

このメールは「えきねっと」より自動配信されています。返信いただきましても対応致しかねますので、あらかじめご了承ください。

なんだかよく読んでみるとおかしな日本語が使われていますね。(笑)
このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「→ログインはこちら」って書かれたところに張られていて、リンク先の
URLがこちらです。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。

えっ、まさかの安全宣言?
これは見逃すことは到底できません。

おっと、まだ「未評価」のようです。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。

このURLで使われているドメインは、サブドメインを含め”eki-net.toyouka1.club
このドメインにまつわる情報を取得してみます。

申請者の「PrivacyGuardian」は、匿名でのドメイン申請を請け負うことのできるレジストラ。
リンク先の詐欺サイトオーナーは、このレジストラにドメイン申請代行を依頼したようです。

このドメインを割当てているIPアドレスは”155.94.146.90
このIPアドレスを元にその割り当て地を確認してみます。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーに程近い場所。
フィッシング詐欺サイトは、この付近に密集しています!
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

すると真っ先にChromeがブロックしてきました。

構わず先に進んでみましたが、サイトの旬が過ぎているようで結局正常に開くことはできませんでした。

localhost で接続が拒否されました」と書かれているので、サイトオーナーはリンク先を”localhost”に
切換えたようです。
localhost”とは、自局の事で簡単に言えば今あなたがこのサイトを見ている端末デバイスの事。
そのようなところにWebページやWebサーバーなんて存在しませんからエラーとなるわけです。

このように詐欺サイトは、捜査の手が及ぶのを恐れ、えてして時々姿をくらまします。
こうすることで少しでも捜査の手から逃れようとしているのです。
先程ご覧いただいた通り、IPアドレスとドメインは紐づけされたままなのでサイトは簡単に
復活することが可能な状態です。

まとめ

それにしてもあまりにもお粗末な詐欺メールでしたね。
って言うか、これじゃ詐欺メールと言うよりも単なる迷惑メールですね。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

迷惑メールAmazon,eki-net.toyouka1.club,IPアドレスが割当てられていない,JR東日本,localhost,localhost で接続が拒否されました,sicrayanmidilli.com,SPAM,えきねっと,なりすまし,フィッシング詐欺,会員情報変更および退会に関するお知らせ,偽サイト,危険,拡散希望,注意喚起,見分け方,詐欺,詐欺サイト,詐欺メール,調査,迷惑メール,退会,重要

Posted by heart