ありがちな詐欺メール
年末年始は、詐欺師にとっても書き入れ時なのでしょうか?
昨夜から今朝にかけても大量の詐欺メールが届いております。
そして今度は「Yahoo!JAPAN」を騙る詐欺メールの到着です。
このメールは、Yahoo!らしからぬ、冒頭の宛名が受信者のメールアドレスがそのまま記載されています。
本文に書かれている内容は、詐欺メールでよく使われるアカウントの更新ができなかったというもの。
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。
件名は
「[spam] Yahoo!JAPAN アカウントの利用停止のお知らせ」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
差出人は
「"Yahoo!JAPAN" <yahoo@4yr40f.cn>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
確かにアカウント名に”yahoo”と記載がありますが、「Yahoo!JAPAN」さんには、皆さんご承知の通り
”yahoo.co.jp”って正規ドメインをお持ちです。
正規ドメインが有るのにそれ以外のこのようなでたらめな中国のドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。
あれれ?YahooなのにAmazon.co.jpって…
では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。
| Return-Path: 「yahoo@4yr40f.cn」
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
|
| Message-ID:「B073498DE519264B33D93F30BED54567@Amazon.co.jp」
あれ?”Amazon.co.jp”??
お宅”Yahoo”じゃなかったんでしたっけ?(笑)
どうせほかにAmazonを騙る余罪もあるのでしょうね…
”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
|
| Received:「from 4yr40f.cn (unknown [152.32.147.54])」
”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
|
では、メールアドレスにあったドメイン”4yr40f.cn”について調べてみます。
”152.32.147.54”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスも”152.32.147.54”と全く同じですから全く同じ。
と言うことはこの差出人、メールアドレスを偽装することなくこのメールを送ってきたことになります。
「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”152.32.147.54”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその危険性と割り当て地を確認してみます。
脅威レベルは「高」とされておりかなりリスクの高いIPアドレスだということがわかります。
位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上で
ご覧ください。
ピンが立てられたのは、「東京都杉並区和泉2丁目」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
詐欺サイトはすでに閉鎖
では引き続き本文。
Yahoo! JAPAN に登録頂いたお客様に、Yahoo! JAPANアカウントの情報更新について連絡いたします。
申し訳ございません。Yahoo! JAPAN のアカウントを更新できませんでした。
この場合、カードの有効期限が切れていたり、請求先住所が変更されていたりするなどの理由により、カード情報を更新することができません。
お客様のアカウント情報の一部に誤りがあるため、Yahoo! JAPANアカウントの再確認が必要です。以下のリンクからログインし、情報を更新してください。
h**ps://knowledge.support.yahoo-net.jp/PccLogin/s/article/H000004672
また、24時間以内に確認が取れない場合は、申し訳ございませんが、お客様のセキュリティのために、アカウントへのアクセスを制限させていただきますので、ご了承のほど、よろしくお願いいたします。
Yahoo! JAPANは今後もお客様の利便性と安全性を追求し、安全にご利用いただける環境の提供を進めていきます。 |
このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは本文内に直書きされていますが、でもこれは偽装されていて、本当のリンク先と
その危険性をトレンドマイクロの「サイトセーフティーセンター」での評価がこちら。
このように既に危険サイトと認識されており、ブラックリストに登録済み。
このURLで使われているドメインは、サブドメインを含め”yahoo-jp.dccj.xyz”
このドメインにまつわる情報を取得してみます。
このドメインは、どうやらどのIPアドレスにも割り当てられていないようです。
サイトへのリンクをクリックしてみると、やはり接続できませんでした。
詐欺サイトは、捜査の手が及ぶのを恐れ、えてして時々姿をくらまします。
こうすることで少しでも捜査の手から逃れようとしているのです。
しかし、「サイトセーフティーセンター」での評価を見てお分かりの通り、危険なサイトであったことは
間違いないようです。
またいつIPアドレスとドメインは紐づけしサイトを復活させるかわからないでのとても危険です。
まとめ
今回は、サイトへの接続はできませんでしたが、きっと偽のYahoo!のログインページが表示されたはず。
そこにIDとパスワードを打ち込みログインボタンを押したら最後。
アカウントは乗っ取られることになるでしょうね。
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |