『詐欺メール』「荷物が正常に配達されていません。」と、来た件

郵便局を騙るバカげたメールにご注意を！

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

1. ★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

何故郵便局が私のメールアドレスを？

「ご注意ください」と書かれた郵便局から突然のメール。

宛名が私のメールアドレス？
ちょっと待って、送り状にメールアドレスなんて書くところなかったよね？
それなのになんで郵便局が私のメールアドレスを知っているのでしょうか？…(;^_^A
これはもう、あれですよね！(^_-)-☆

もっともらしく『お届け致しました「ご不在連絡票」をご用意の上』なんて書いちゃって…
そんなもの最初からありもしないのです。
これはこのメールに信ぴょう性を持たせるためのウソです。
なんだかんだ言ってリンクに呼び込む口実の一つに過ぎません。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「[spam] 荷物が正常に配達されていません。」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
そりゃそうです。
だってこの差出人は私のことはメールアドレスしか知らないのですから荷物なんて
届くはずがありません。(笑)

そしてこの件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”【ご注意ください】” <postjapan@zqc.hbishopfr.co>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

あれれ？
日本郵便さんのお使いになるドメインは、確か”post.japanpost.jp”でしたよね？
なのになんですかこのドメインは。。。
”.co”なんて南米コロンビアの国別ドメインじゃないですか。
日本郵便さんがそのような国別ドメインを使うと思いますか？
正規ドメインが有るのにそれ以外のこのようなでたらめなドメインを使った
メールアドレスでメールを送るなんて信用問題に関わる大きな問題です。

使えないはずのメールアドレス

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「postjapan@zqc.hbishopfr.co」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「acdecdc9db77c0236e57d0c42320c260@zqc.hbishopfr.co」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from 10-27-13-43.localdomain (unknown [152.32.206.225])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

この差出人は、あくまで自分のドメインは”zqc.hbishopfr.co”と言い張るようですね。
ならばその鼻っ柱をへし折ってやりましょうか！

先に書いた通り”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”zqc.hbishopfr.co”について調べてみます。

このコロンビアの国別ドメインを使ったドメインですが、存在はしているようだがIPアドレスに割当て
られていないようなので、現在は利用ができない状態です。

もう一度”Received”を見てみます。

Received:「from 10-27-13-43.localdomain (unknown [152.32.206.225])」

ここに”from 10-27-13-43.localdomain”とありますよね。
これは、どこかのプロバイダーのれんたるさーばーを介さず独自サーバーから直接このメールを発信
していることを示します。

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”152.32.206.225”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、アメリカバージニア州レストン付近です。
日本郵便がこのような場所から独自サーバーを使って荷物の案内メールを送ると思いますか？(笑)
バカバカしくて片腹痛くなります。(;^ω^)

日本郵便のはずが、Amazonって？！

では引き続き本文。

予約済みの連絡先情報を通じて連絡します：

メールアドレス（ユーザーID）：****@*****.***

残念なお知らせですが、受取人情報に誤りがあり配達できない郵便物については、再配達を承ります。
お届け致しました「ご不在連絡票」をご用意の上、このページよりお申し込みください。

※ゆうびんポータル及びMyPostへの事前登録をしていただいた上、専用ページ「再配達（はこぽす）のお申し込み受付」から再配達受付をいたします。

‥‥‥‥‥‥‥‥‥‥‥‥

ゆうびんマイページログイン
h**ps://login.post.japanpost.jp/aew/page=4oq4b43hx6s5u

※配送スケジュールは 1 ～ 2 営業日以内に更新されます。
※注意：48時間以内にご返信のない場合、差出人に返送されることになります。
‥‥‥‥‥‥‥‥‥‥‥‥
本メールに心当たりがない場合は、お手数ですが本メールの削除をお願いします。
本メールは配信専用です。ご返信を承ることができませんのでご了承ください。
‥‥‥‥‥‥‥‥‥‥‥‥
発行元日本郵便株式会社

〒100-8798
東京都千代田区大手町二丁目3番1号

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に直書きされていますが、ここに見えているURLは大嘘です。
クリックするとHTMLにて別サイトに自動転送される仕組みが組み込まれていて、実際に接続される
リンク先のURLとトレンドマイクロの「サイトセーフティーセンター」での危険度評価がこちらです。