『詐欺メール』「【重要なお知らせ】EPOS Netご利用確認のお願い」と、来た件

★フィッシング詐欺解体新書★

抽象的な宛名で始まるメール

「EPOS Netユーザー様」と抽象的な宛名となっているメールが届きました。
三井住友カードやアマゾンでもそうですが、宛名は登録氏名かユーザーIDが書かれているはずで
それがこのように万人向けのような抽象的な宛名の場合の多くが詐欺メールです！

エポスカードは、株式会社丸井グループの子会社で、クレジットカード会社です。
書かれている内容は、例によって第三者不正利用の疑いで一時的にアカウント制限中であり
解除するためにリンクに従えと言うもの。
これは最近の詐欺メールの常とう手段ですね。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「[spam] 【重要なお知らせ】EPOS Netご利用確認のお願い」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”エポスカード” <jhwjunl@service.tdoegiy.cn>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

どうしてが”tdoegiy.cn”なんて中国のドメインメールを使うのでしょうか？
エポスカードさんにはちゃんと”eposcard.co.jp”って正規ドメインをお持ちです。
正規ドメインが有るのにそれ以外のこのようなでたらめなドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。

偽物ながらメールアドレスの偽装は無し

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

では、メールアドレスにあったドメイン”service.tdoegiy.cn”について調べてみます。

持ち主は、私には読むことのできない文字を含む漢字3文字の氏名の方。
そして”194.36.170.144”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと全く同じですから偽物ながらメールアドレスの偽装はありません。

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”194.36.170.144”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。
代表地点としてピンが立てられたのは、アメリカカリフォルニア州フリーモント付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

リンク先はダイナミックDNSを利用

では引き続き本文。

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「EPOS Net公式サイト」って書かれたところに張られていて、リンク先の
URLとトレンドマイクロの「サイトセーフティーセンター」での危険度評価がこちらです。

おやおや？まさかの安全宣言？
これは見逃すことは到底できません。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。

ここには「ダイナミックDNS」と書いてありますね。
これは変動するIPアドレスに対して自動でホストを割当ててくれる仕組みのこと。
そのサービスを無料で行っていることで有名なのはアメリカの「ChangeIP」さん。
恐らくこのドメインもそちらのサービスを利用したものと思われます。

このURLで使われているドメインは、サブドメインを含め”korespondence.gettrials.com”
このドメインにまつわる情報を取得してみます。

申請登録はやはり「ChangeIP」さんでした。
このサイト運営者は姑息にも無料ドメインで詐欺サイトを運営していることになりますね！

このドメインを割当てているIPアドレスは”205.185.120.7”
このIPアドレスを元にその割り当て地を確認してみます。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。

ピンが立てられのは、ラスベガスのハリーリード空港付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

トレンドマイクロの「サイトセーフティーセンター」での危険度評価から、恐らく詐欺サイトは
どこからもブロックされることなく無防備な状態で放置されていると思われます。
そんなサイトへ安全な方法で訪れてみました。

Chromeのアドレスバーに「危険」と表示されたので、Googleでは既に危険なサイトとして
ブラックリストに登録済みのようです。

でも、表示されているのはこのように「404 Not Found」と書かれたエラーページ。

どうやら一時的に閲覧できないように閉鎖してしまったようです。
詐欺サイトは、捜査の手が及ぶのを恐れ、えてして時々姿をくらまします。
こうすることで少しでも捜査の手から逃れようとしているのです。
先程ご覧いただいた通り、IPアドレスとドメインは紐づけされたままなのでサイトは簡単に
復活することが可能な状態です。

まとめ

金融機関やショッピングサイトからのメールで、このような第三者不正利用を理由で
リンクに誘導されるものは詐欺メール医の可能性が非常に高いので、まず差出人のメールアドレスが
合っているか、そしてリンク先のURLのドメインが該当する企業の物かどうかを必ずお確かめください。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;