「ETC利用照会サービス事務局」から決済方法についてメールが?!
またまた「ETC利用照会サービス事務局」さんを騙るフィッシング詐欺メールのご紹介となります。
そのメールがこちら。
どうやらETCの決済方法に不備が生じたようです。
「ETC利用照会サービス事務局」さんとは、ETCカードを管理しているわけではなく、ETCカードの
過去15か月間のETCカード利用内容を確認できるサービスです。
だからETCの決済方法に関するメールがこちらから来るはずがありません!(笑)
それに文中におかしなところが複数見受けられますよね。
そして、書かれている電話番号と末尾のリンク先はどちらも「ETC利用照会サービス事務局」ではなく
「ETCマイレージサービス」と全然別の団体のもの。
これじゃ誰一人騙せませんよ!
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。
件名は
「[spam] ETCサービスを中止いたします」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
差出人は
「"ETC利用照会" <admin@ml.etc-meisai.jp>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
それにしても中途半端な差出人名ですね、ちゃんと「ETC利用照会サービス事務局」と
書いた方がよりリアルだと思いますよ。(笑)
上手く化けているつもりしょうか?…
”etc-meisai.jp”は確かに「ETC利用照会サービス事務局」さんのドメインですが、
件名に”[spam]”とあるのでこのメールは詐欺メール故に偽装の疑いがあります。
その辺りを含め、次の項で見ていくことにしましょう。
差出人の本当のメールアドレスは?
では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。
| Return-Path: 「rlplvgfjl@sensingclothing.com.cn」
あらあら、いつの間にかドメインが「ETC利用照会サービス事務局」さんの
ものではなく全然違う中国のドメインに入れ替わっていますね。
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されます。
|
| Message-ID:「202212081537522111870@sensingclothing.com.cn」
”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
|
| Received:「from sensingclothing.com.cn (unknown [20.194.166.145])」
”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
|
もうこの時点で偽装は確定的です。
では、「フィールド御三家」にあったドメイン”sensingclothing.com.cn”について調べてみます。
”20.194.166.145”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと全く同じであることが分かります。
ということは、この差出人の本当のメールアドレスは、おそらく”Return-Path”に記載の
”rlplvgfjl@sensingclothing.com.cn”でしょうね。
これでアドレス偽装は確定です!
この方にはしっかり罪を償っていただかなければなりませんね!
「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”20.194.166.145”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。
ピンが立てられたのは、東京都杉並区和泉付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
丁寧な言葉だけど句読点が…
では引き続き本文。
| ETCサービスをご利用いただきありがとうございます。
ETC決済方法を再確認してください。ETCサービスは無効になりました!有効期限:2022年12月30日。
引き続きサービスをご利用いただきたい場合は、下記リンクより詳細をご確認ください
▶ここをクリックして検証
注意事項
*変更後、3日以内に発効する必要があり、期間中は使用できません。*カードの個人情報によっては電話で連絡する場合もございます。。*正確な情報は必ず記入してください。
ご不便とご心配をおかけしまして誠に申し訳ございませんが、何とぞご理解賜りたくお願い申しあ(げます。
配信元:
ETC利用照会サービス事務局
携帯電話、PHS、IP電話などでのご利用は
045-477-3793
受付:9:00〜18:00
※おかけ間違えのないようご注意ください。 |
句読点が多かったり無かったり…
このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「ここをクリックして検証」って書かれたところに張られていて、リンク先の
URLとトレンドマイクロの「サイトセーフティーセンター」による危険度チェックが
こちらの内容です。
このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。
このURLで使われているドメインは、これまた中国のドメインで構成されていて、そのドメインは
サブドメインを含め”www.goo-in-etc.co.jp.quhuidian.com.cn”
このドメインを割当てているIPアドレスを取得してみます。
これによるとこのドメインを割当てているIPアドレスは”47.87.129.202”
このIPアドレスを元にその割り当て地を確認してみます。
こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーに程近い場所。
フィッシング詐欺サイトは、この付近に密集しています!
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。
危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。
ウィルスバスターにブロックされましたが、気にせず先に進んでみると、現れたのはこのページ。
「ETC利用照会サービス」と書かれたログインページです。
もちろん偽サイトですから絶対にログインしないでください!
まとめ
「ETC利用照会サービス事務局」さんを騙るフィッシング詐欺メールにはもううんざり…(-_-;)
勘弁してほしいものです。
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |