『詐欺メール』「vpass 三井住友カード 重要なお知らせ」と、来た件

★フィッシング詐欺解体新書★

三井住友カードが中国のドメインで？！

ここ最近、フィッシング詐欺メールが氾濫しているようで、今朝のテレビニュースでNHKとテレ朝が
大々的に取り上げて注意喚起していました。
今朝も私のところには処理しきれないくらいの怪しいメールが届いています。

その中から今回は、こちらの三井住友カードの名を騙る怪しげなメールをご紹介しようと思います。

ま、突っ込みどころ満載なんですがね。(笑)
まず、差出人のメールアドレスのドメインが、通常中国で使われている”.cn”になっています。
そして「三井住友カード」と書かれた緑の文字が中途半端に改行されています。
でもって、このメールの本文に書かれているのは、第三者不正利用の通知あるのに
冒頭に「ドメインの運用（メール送受信やホームページの表示）に関わる重要な通知」と
全く関係のないことが書かれています。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「[spam] vpass 三井住友カード 重要なお知らせ」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”vpass” <ama@gxttwny.cn>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

調べりゃすぐにわかるんですが、「三井住友カード」さんは、”smbc-card.com”って
正規ドメインをお持ちです。
正規ドメインが有るのにそれ以外のこのようなでたらめな中国ドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。

特定電子メール法違反

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

このメール、差出人を三井住友カードと名乗っているのに対しメールアドレスが
三井住友カードのものではないので嘘をついています。
これは、特定電子メール法違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”gxttwny.cn”について調べてみます。

申請登録は、私には読めない漢字を含む3文字の氏名の方により行われています。
申請に使われたメールは「Outlookメール」で、Microsoftが提供するフリーメールサービスです。

そして”152.32.144.10”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと全く同じですからメールアドレスは偽装されていませんね。

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”152.32.144.10”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられたのは、「東京都庁」付近です。
もちろん、東京都庁から送られたわけではなく、この位置情報は代表的な場所を示しているので
このメールは、この近くに設置されたメールサーバーを介して私に届けられたということです。

「業界最高水準の不正利用検知システム」だって…詐欺なのに…

では引き続き本文。

「業界最高水準の不正利用検知システム」だって…詐欺なのに…(笑)

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「ログイン」って書かれたところに張られていて、リンク先のURLと
トレンドマイクロの「サイトセーフティーセンター」での危険度評価がこちらです。

このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。

このURLで使われているドメインは、”www.sm-bcjp.top”
このドメインにまつわる情報を取得してみます。

申請登録者は、匿名でドメインの取得を代行することで知られている「PrivacyGuardian.org」
故に、サイバー犯罪の温床となっているとして問題視されています。

このドメインを割当てているIPアドレスは”104.21.46.142”
このIPアドレスを元にその割り当て地を確認してみます。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
ピンが立てられのは、詐欺サイトのメッカ、カナダのトロント市庁舎付近。
フィッシング詐欺サイトは、この付近に密集しています！
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

詐欺サイトに危険を承知で訪れてみましたが、サイトは真っ白で何も表示されませんでした。
きっと、ミッションを達成したのでサイトを閉じてしまったのでしょうね。

まとめ

ここ最近は「ヤマト運輸」に成りすますものが横行していますが、それ以外にも様々なメールで
我々を狙っていますのでくれぐれもご注意ください。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;