甘い言葉に騙されないように! 今回が1501本目の詐欺メールエントリーとなりました。
また新たな気持ちで淡々と書いていこうと思います。
誤字脱字等あるかとは思いますが、どうかよろしくお願いいたします。 さて今回の話題はこちらのメール。 
ソニー株式会社から届いたこのメールは、特別割引セールの案内が記載されており
一部の商品が半額になるなんてことが書かれています。
その詳細を見るにはリンクへ接続する必要があるようですね。
もちろんこのメールは悪意を持った詐欺メールですからリンクを押してはいけませんよ! 差出人のメールアドレスもとても怪しげなものになっていますよね。
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は
「[spam] 【お得な情報】ソニー商品、期間限定半額セール!」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「ソニー株式会社 <aevowmarvhltjauxoqxspxf@acm.account.sony.com>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 大企業のメールアカウントが”aevowmarvhltjauxoqxspxf”なんて意味の分からなくてクソ長い物は
考えられません。
それにソニーさんの公なドメインは”sony.com”ではなく”sony.jp”
メールアドレスを見ただけで怪しさ満載ですね!
利用プロバイダーは香港にあり では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「aevowmarvhltjauxoqxspxf@acm.account.sony.com」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「02a9d93d194b42bdf17210b1544bb796@165.154.18.22」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from 10-40-178-180.localdomain (unknown [165.154.18.22])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
”localdomain”と記載があるのでこの差出人は、レンタルサーバーではなく
自身が持つメールサーバーを利用してこのメールを送っているようです。 | この差出人は、あくまで自分のドメインは”acm.account.sony.com”と言い張るようですね。
ならばその鼻っ柱をへし折ってやりましょうか! 先に書いた通り”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。 ※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する では、メールアドレスにあったドメイン”acm.account.sony.com”について調べてみます。 
どうやらこのドメインは、ソニーのアメリカ法人の持ち物です。
そして”23.194.79.164”がこのドメインを割当てているIPアドレス。
本来同じでなけれならない”Received”のIPアドレスが”165.154.18.22”ですから全く異なります。
これでアドレス偽装は確定。
この方にはしっかり罪を償っていただかなければなりませんね! 「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”165.154.18.22”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその回線情報と割り当て地を確認してみます。 
まず利用されたプロバイダーから。
「Ucloud Information Technology (Hk)」と書かれているので中国の香港にあるプロバイダーです。 次に割り当て地。
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 代表地点としてピンが立てられたのは、東京都杉並区和泉2丁目付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
自動転送されYahooのサイトが表示された では引き続き本文。 | お客様へ、 この度、ソニーからお客様への感謝の気持ちを込めまして、期間限定の特別割引セールを開催いたします。一部の商品がなんと半額になる大変お得なセールです! セール期間中にぜひ、お気に入りのソニー商品をお求めください。お得なこの機会をお見逃しなく! 詳細については、弊社ウェブサイト(サインインして詳細を見る)または最寄りのソニー販売店でご確認ください。 どうぞ、お楽しみください! ソニー株式会社
お客様サポート部 | このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「サインインして詳細を見る」って書かれたところに張られていて、リンク先の
URLとトレンドマイクロの「サイトセーフティーセンター」での危険度評価がこちらです。 
このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。 このURLで使われているドメインは、サブドメインを含め”ghgfdgmnb.acmetoy.com”
このドメインにまつわる情報を取得してみます。 
このドメインの持ち主は、ダイナミックドメインを無料で貸し出しているアメリカの「ChangeIP」
この詐欺師は姑息にもタダでドメインを取得して詐欺サイトを運営しているようです。 そしてこのドメインを割当てているIPアドレスは”45.117.102.145”
このIPアドレスを元にその割り当て地を確認してみます。 
こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
代表地点としてピンが立てられのは、なんと大阪市北区付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。
接続してみるとすぐにリダイレクト(自動転送)されてYahooのページが表示されました。 
ミッションを達成したのか、それとも当局に感づかれたのか、詐欺サイトへのリンクを
Yahooに切り替えたようです。
詐欺サイトは、捜査の手が及ぶのを恐れ、えてして時々姿をくらまします。
こうすることで少しでも捜査の手から逃れようとしているのです。
先程ご覧いただいた通り、IPアドレスとドメインは紐づけされたままなのでサイトは簡単に
復活することが可能な状態です。
まとめ 半額なんて甘い言葉に騙されないようにしてくださいね。
だいたいソニーが私のメールアドレスなんて知っているはずがありませんもんね! 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 