『詐欺メール』「「au pay」本人確認を完了してください」と、来た件

heart

2年前

なぜauばかり狙うの？

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

本人確認にご注意を！

日々様々な迷惑メールや詐欺メールが届くのですが、今回は「au PAY」からこのようなメールが
仕事用のメールアドレスに届きました。

私、確かにauユーザーですが、もちろん仕事用のアドレスではユーザー登録していません。
なのになぜauがそのアドレスを知っているのでしょうか？
そう、それはこのメールが詐欺メールだからです！
末尾の署名も「© 2016 KDDI/au Commerce & Life, Inc.」なんて簡単な一行だけで済ましているし。
これじゃ連絡先もわからないのでビジネスメールのマナー違反です。

最近、このように意味不明な理由で本人確認を求める詐欺メールがかなり増えています。
auに限らず、メール本文に書かれたリンクから本人確認サイトへ誘導するメールには
注意が必要です！
それにしても狙われるキャリアはいつもauばかりですね…

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「[spam] 「au pay」本人確認を完了してください」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
細かいようですが、正式には「au pay」ではなく「au PAY」です。
大文字小文字を分け合って使い分けているので、正式なメールなら当然正規表現が使われるはずです。

それにこの件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「info@auone.jp <norelay@vumehq.cn>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

せっかく差出人名を”info@auone.jp“と名乗っているんだから、ウソでもよいので
メールアドレスにも”info@auone.jp”を使って欲しかったと思うのは私だけではないはず。(笑)
だって”norelay@vumehq.cn”なんてメールアドレスじゃ偽物って言っているようなものです。
それに”.cn”なんて中国の国別ドメインだし…

偽物だがメールアドレスの偽装は無し

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「norelay@vumehq.cn」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「20230310083233507421@vumehq.cn」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from vumehq.cn (vumehq.cn [106.75.19.178])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、メールアドレスにあったドメイン”vumehq.cn”について調べてみます。

このドメインの持ち主は、私には読むことのできない文字を含む漢字3文字の氏名の方。
そして”106.75.19.178”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと全く同じですので、偽物ではあるもののメールアドレスの偽装は
行われていません。

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”106.75.19.178”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

中国「Beijing Haidian」と書かれているので、代表地点としてピンが立てられたのは、北京市海淀区
付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

リンク先は「ルクセンブルク」で運営中

では引き続き本文。

***@*****.***樣

いつもご利用いただきありがとうございます。
お客様に重要なお知らせがあります。

※「au pay」会員サイトでは、セキュリティ保護の観点から緊急の措置として、アカウントメンテナンスに取り組んでいます。
※「24時間以内」に下記のリンクより本人確認を完了してください。

ログイン

注意事項（必読）

※確認がお済みでない場合、サービスのご利用を停止させていただきますので、ご了承ください。
※お客様にはご不便、ご面倒をお掛けすることもあるかと存じますが、
※何卒ご理解いただきますようお願い申し上げます。

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「ログイン」って書かれたところに張られていて、リンク先の
URLとトレンドマイクロの「サイトセーフティーセンター」での危険度評価がこちらです。

おっと、まだ「未評価」のようです。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。

このURLで使われているドメインは、サブドメインを含め”jpau.cam”
このドメインにまつわる情報を取得してみます。

申請登録は、アメリカのホスティングサービス「Dynadot」
恐らくここに取得の代行を依頼したのでしょう。

このドメインを割当てているIPアドレスは”198.251.84.188”
このIPアドレスを元にその割り当て地を確認してみます。

今度ピンが立てられのは、ルクセンブルクのメルシュ付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

開いたのは「au ID」と書かれたログインページです。
因みにこちらが本物のログインページ。

若干異なるようですが、見比べないとわからないレベルですね。(;´･ω･)

まとめ

このようなメールは、どこかで入手したアドレス宛に当たれば儲けものって感じで無差別的に
送られてくるものなのでauユーザーであろうが無かろうが奴らにはそんなこと構ったことじゃありません。
それにしても、いつも狙われるキャリアはauばかりです。
何かauにうらみでもあるのでしょうかね？(;^_^A

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)