なに言ってるかさっぱりわからない…ちょっと何言ってるんだかわからないメールが「三菱UFJ銀行」から届きました。 
「本メールはお客さまの生体情報を利用登録することをご利用され」
◎△$♪×¥○&%#?….さっぱり意味が分かりません…
ログインの方法がおかしかったので振込や振替が一時停止されたってことでしょうか?? では、この意味不明なメールもいつものように解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は
「[spam] 【三菱UFJ銀行】振込・振替の一時利用停止お知らせ」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「”三菱UFJ銀行” <mufg@somedo.cn>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 三菱UFJ銀行さんには、企業の顔となる”mufg.jp“と言う正規ドメインをお持ちです。
それなのにこのような中国の国別ドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて絶対にあり得ません!
偽りのないメールアドレスでは、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「mufg@somedo.cn」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「00a1cde5b9ee$be39b010$f7aee8a6$@dgzk」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from somedo.cn (unknown [106.75.11.240])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、メールアドレスにあったドメイン”somedo.cn”について調べてみます。 
持ち主は、私には読むことのできない文字を含む漢字3文字の氏名の方。
そして”106.75.11.240”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと全く同じなので、偽物ですがメールアドレスに偽りはなかったようです。 「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”106.75.11.240”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。 
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 代表地点としてピンが立てられたのは、最近よく見かける中国 北京市 海淀区付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
「お客様の携帯ブラウザで登録してください。」では引き続き本文。 | いつも 三菱UFJ銀行 をご利用いただきありがとうございます。 ─────────────────
本メールはお客さまの生体情報を利用登録することをご利用され、ログイン異常によって、振込・振替が一時利用停止されました。
提携企業サービス商品のご案内を配信登録されているお客様にお送りしています。
※三菱UFJ銀行 ログイン異常確認済環境のご案内です。
※リンクをクリックすると株式会社三菱UFJ銀行のサイトに遷移します。
─────────────────
お客様の三菱UFJ銀行はセキュリティ強化手続きが完成していません。
安全のためサービスを停止、振込・振替が一時利用停止しました。 ご不便をおかけすることとなりますが、ご理解賜りますようお願い申しあげます。 以下の通りでございます。振込・振替が一時利用停止の制約が解除手続きしてください。 ▼解除手続はお申し込みはWebで完結▼
h**p://mb.insweb.co.jp/?4_–_287710_–_36618_–_1 ——————————————————————— ※本メールはご登録いただいたメールアドレス宛に自動的に送信されています。
※本メールは送信専用です。ご返信いただきましてもお答えできませんのでご了承ください。
━━━━━━━
■発行者■
━━━━━━━
三菱UFJ銀行
https://www.cr.mufg.jp
〒東京都千代田区外神田4-14-1秋葉原UDX Copyright (C) Mitsubishi UFJ NICOS Co.,Ltd. All Rights Reserved. |
このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に直書きされていますが、これはウソ。
クリックすると実際は別のサイトに接続されるように設定されており、そのリンク先の
URLとトレンドマイクロの「サイトセーフティーセンター」での危険度評価がこちらです。 
このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。 このURLで使われているドメインは、サブドメインを含め”mufsgbsnk.com”
このドメインにまつわる情報を取得してみます。 
申請登録は、日本から行われています。 このドメインを割当てているIPアドレスは”194.124.216.200”
このIPアドレスを元にその割り当て地を確認してみます。 
こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。 ピンが立てられのは、オランダアムステルダム付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。 
「お客様の携帯ブラウザで登録してください。」
とだけ書かれていますね。 携帯で接続するとどのような画面が表示されるのでしょうね?
興味はありますが面倒だからわざわざ携帯で接続しなおしません。(;^_^A
まとめ恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
