『詐欺メール』「【三菱UFJ銀行】アカウント異常活動の通知！」と、来た件

★フィッシング詐欺解体新書★

宛名がメールアドレスなんて

連休明け宛名がメールアドレスなんての今朝は、大量に詐欺メールが届いています。
こちらは久しぶりに三菱UFJ銀行を騙るフィッシング詐欺メールです。

宛名がメールアドレスなんて絶対にあり得ないシチュエーション(笑)
そして第三者の不正利用なんて重要な事項をメールで…(;^_^A
そして、「のご利用制限」とは…

それに署名にある「決済企画部」ってのは、公表されている組織図に記載されていませんが…
更にここに書かれている住所って、合ってます？
調べたら三菱UFJ銀行さんは「東京都千代田区丸の内」にあるようなのですが…

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「[spam] 【三菱UFJ銀行】アカウント異常活動の通知！通知番号：588265393628」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
だいたい経験上件名にビックリマークが付いているメールにロクなメールはありません。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”三菱UFJ” <mail@taylorprosport.com>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

”taylorprosport.com”ってダレ？？
「三菱UFJ銀行」さんには、”bk.mufg.jp”って正規ドメインをお持ちです。
正規ドメインが有るのにそれ以外のこのようなでたらめなドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。

あれれ？「JCB」って…

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

よく確認しないとね。
使いまわすとこういうことが起きるんですよ！
なぜ「三菱UFJ銀行」が「JCB」になってるの？(笑)

もう完璧にメールアドレス偽装ですね！
これは特定電子メール法違反！

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”taylorprosport.com”について調べてみます。

”106.75.29.39”がこのドメインを割当てているIPアドレス。
本来同じでなけれならない”Received”のIPアドレスが”182.47.174.193”ですから全く異なります。
これでアドレス偽装は確定。
この方にはしっかり罪を償っていただかなければなりませんね！

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”182.47.174.193”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられたのは、中国 山東省 泰安市 新泰市付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

常識の無い詐欺メール

では引き続き本文。

常識的に考えておかしなところが2つ。
いつは宛名がメールアドレスってところ。
もしも私が、この金融機関に口座を持っているとしたら、この金融機関は私の氏名を知っているはずです。
それなのに宛名がメールアドレスなのは、この差出人が私の氏名を知らないってこと！
そしてもう一つは、このように至急確認が必要な事項を、見るか見ないかわからないメールで処理
使用としていること。
こんなの非常識すぎます！
ま、それが詐欺メールなんですけどね。(笑)

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「利用確認はこちら」って書かれたところに張られていて、リンク先の
URLがとトレンドマイクロの「サイトセーフティーセンター」での危険度評価はこちらです。

このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。

このURLで使われているドメインは、”ypdtc.com”
このドメインにまつわる情報を取得してみます。

所有者は、アメリカに拠点を置くホスティングプロバイダーの「QuadraNet」で
申請者は、中国北京市の方のようです。

このドメインを割当てているIPアドレスは”155.94.145.206”
このIPアドレスを元にその割り当て地を確認してみます。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーに程近い場所。
フィッシング詐欺サイトは、この付近に密集しています！
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

えらく時間が掛かった上で開いたのは、このようなページ。

本物のサイトを確認してきましたが、開くのに時間が書か遭った以外まったく見分けがつきません…(;^_^A
もっとも私、こちらに口座開いていないので騙されたくても被害に遭う事は無いのですがね。(笑)

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;