なぜ配達してくれないの? いよいよスギ花粉が大量に飛び始めました。
毎年3月の初旬から鼻詰まりの症状に悩まされ憂鬱なシーズンが今年も始まりました。(;´・ω・) さて、巷では相変わらず「ヤマト運輸」を騙る詐欺メールが横行中のようで、手を変え品を変え
次々と送りこまれてきています。 今回ご紹介するものそんな「ヤマト運輸」の名を騙った詐欺メールです。 
「事務局から依頼のあったお荷物を営業所にて保管中」とのことですが、「事務局」って
どこの事務局なのでしょうか?
それに保管中って、なぜ配達してくれないのでしょうか?
そして、何の縁もゆかりもないのになぜわざわざ「お客様ページ」なんて作っているのでしょうか?
読めば読むほど「?」ばかり増えていきます…(;^_^A では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は
「[spam] <<重要·再送>>【ヤマト運輸】営業所にてお客様へのお荷物保管中」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「”ヤマト運輸株式会社” <admin@kuronekoyamato.co.jp>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 ”admin”なんて「管理者」のことでしょ?そんな大げさな…
”kuronekoyamato.co.jp”は確かに「ヤマト運輸」のドメインですが、件名に”[spam]”と
あるのでこのメールは詐欺メール故に偽装の疑いがあります。
その辺りを含め、次の項で見ていくことにしましょう。
空きドメインが使われていた では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「hwldaevk@bl0v7.com.cn」 早速シッポ出しましたね(笑)
なぜに「ヤマト運輸」さんが”bl0v7.com.cn”なんてドメインなのでしょう?
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されます。 | | Message-ID:「202303021923011173574@bl0v7.com.cn」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from bl0v7.com.cn (unknown [138.91.25.253])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | 全てにおいてドメインが”bl0v7.com.cn”なんて中国のものになっています。
もう、この方は明らかに「ヤマト運輸」の方ではありません!
この時点で特定電子メール法違反!
処罰の対象となります。 ※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する 因みにこのドメイン”bl0v7.com.cn”を「GoDaddy」さんで取得可能かどうか調べてみると。 
あらら、何と空きドメインのようで取得可能と出ました。(笑)
ということは”bl0v7.com.cn”までもウソなのですね! 「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス””は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。 
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 代表地点としてピンが立てられたのは、大阪市付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
サイトは無防備に放置 では引き続き本文。 | ヤマト運輸をご利用いただきありがとうございます。 事務局から依頼のあったお荷物を営業所にて保管中です。 こちらの配達荷物の詳細などを「お客様ページ」に掲載させていただきますので、そちらをご確認お願いいたします。 ▶<お客様ページ> また、お荷物を営業所で保管できる期限は【翌水曜日】までとなっております。お早めにご確認をお願いいたします 配信元:ヤマト運輸株式会社 Copyright© YAMATO HOLDINGS CO., LTD. All rights reserved. | このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「<お客様ページ>」って書かれたところに張られていて、リンク先の
URLとトレンドマイクロの「サイトセーフティーセンター」での危険度評価がこちらです。 
おっと、まだ「未評価」のようです。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。 このURLで使われているドメインは、サブドメインを含め”www.go-kotayamatoc.co.shtongwei.club”
このドメインにまつわる情報を取得してみます。 
申請登録は、「Registrant State/Province: fu jian」と記載されているので中国福建省の方。 このドメインを割当てているIPアドレスは”47.87.215.119”
このIPアドレスを元にその割り当て地を確認してみます。 
こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
代表地点としてピンが立てられのは、アメリカカリフォルニア州ロサンゼルス付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 トレンドマイクロの「サイトセーフティーセンター」での危険度評価からすると、リンク先サイトは
どこからもブロックされることなく無防備に放置されているとおもわれますが、安全な方法でその
詐欺サイトに調査目的で訪れてみました。 
相変わらずいつもと同じ送り状番号の記載された荷物の問い合わせページ。
日付だけちゃっかり今日に変えてありますね。(笑)
もちろん詐欺サイトなのでこの先へ進んではいけません!
まとめ いつまで続くのでしょうか、この「ヤマト運輸」を騙った詐欺メールは。
それにしても詐欺メールって中国の絡んだものが多いですよね。。。┐(´д`)┌ヤレヤレ 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 