『詐欺メール』「東京電力エナジーパートナー【4月19日重要/なお知らせ】」と、来た件

私、中部電力管内なんですけど

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

歯抜けの本文に未納料金が2つ

東京電力TEPCOから、中部電力管内で東邦ガスから電力供給を受けている私に、料金請求の
案内メールが届きました。

所々歯抜けの本文。
未払い金額が2箇所書かれていてそれぞれ20,000円と40,000円と異なる金額が書かれた
ちょっと意味不明な内容になっています。
このメールが届いたのは今日4月19日で支払期限日も4月19日ってどうよ…
それ以前にTEPCOが私のアドレスなんて知る由もないはずです。(笑)

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「東京電力エナジーパートナー【4月19日重要/なお知らせ】」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
いつもなら件名の頭に”[spam]”とスタンプが付けられているのですが、今回はサーバーの
セキュリティーをすり抜けてきてしまったようですね。

差出人は
「”東京電力エナジーパートナー【4月19日重要/なお知らせ】” <admin@ml.tepco.co.jp>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

”tepco.co.jp”は確かに「東京電力」のドメインですが、もう明らかこのメールは詐欺メール。
こんなの全く信じられません！
その辺りを次の項で暴いて行くことにしましょう！

中国奥地のメールサーバーで

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「admin@jiujing.xyz」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、それとは全く異なる
”.xyz”なんてめちゃめちゃ怪しいドメインを使ったメールアドレスが書かれています。

Message-ID:「20230419030838660202@jiujing.xyz」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from mail.jiujing.xyz (unknown [106.58.217.205])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

もう言い逃れはできませんね！
これはメールアドレス偽装なので特定電子メール法違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、”Received”にあったドメイン”jiujing.xyz”について調べてみます。

このドメインはどうやら中国の方の持ち物です。
そして”106.58.217.205”がこのドメインを割当てているIPアドレス。
本来同じでなけれならない”Received”のIPアドレスと同じですから、やはりこの方のメールアドレスの
ドメインで間違いありません。

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”106.58.217.205”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

かなりの山奥のようですね、代表地点としてピンが立てられたのは、中国雲南省普洱市(Pu’er City)付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

東京電力が中国のドメインでシカゴでサイト運営(笑)

では引き続き本文。

本メールは、TEPCO にメールアドレスを登録いただいた方へ配信しております
TEPCOよりご利用料金のご請求です
ご注意
当メールのTEPCOアドレスは弊社からの送信専用のアドレスです。ご返信いただいても　　　　　　　　対応は致しかねますので予めご了承ください。
下記内容をご確認の上、至急お支払いください。万一、支払期日を過ぎると、

サービスのご供給を【停止】致します
未払い金額： 20,000 円（税込）
支払い期限：2023年4月19日（支払期日の延長不可）
未払い金額： 40,000 円（税込）
支払いの詳細リンクエント

お問い合わせ・サポート

料金表示は税抜表示となります。

東京電力ホールディングス株式会社

そのままコピペしてみました。
このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「支払いの詳細リンクエント」って書かれたところに張られています。
この「リンクエント」って言葉、聞いたことありませんね。
調べてみても該当する言葉は見つかりませんでした…何か詐欺師たちの造語なのでしょうか？

そのリンク先のURLとトレンドマイクロの「サイトセーフティーセンター」での危険度評価が
こちらです。

おっと、まだ「未評価」のようです。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。

このURLで使われているドメインは、サブドメインを含め”rhinestone168.com.cn”
”.cn”ですから中国の国別ドメインとなっています。
東京電力が中国のドメインって…(;^_^A

このドメインにまつわる情報を取得してみます。

持ち主は、私には読めない漢字2文字の氏名も方。
他の詐欺サイトの調査でも見かけたことのあるお名前で、恐らくは中国の方でしょう。
そしてこのドメインを割当てているIPアドレスは”107.174.250.222”
このIPアドレスを元にその割り当て地を確認してみます。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
代表地点としてピンが立てられのは、アメリカのシカゴ付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

トレンドマイクロの「サイトセーフティーセンター」での危険度評価からすると、リンク先の詐欺サイトは
どこからもブロックされることなく無防備に放置されていると思われます。
そんなサイトへ安全な方法で訪れてみました。

ちょっと画像がデカかったかな…(;^_^A
これはTEPCOへのスマホ用のログインページでしょうか？
中国のドメインを使って東京電力TEPCOが客様専用のサイトを作ると思いますか？(笑)
天地がひっくり返ってもあり得ません！

まとめ

東京電力管内だろうが中部電力管内だろうがお構いなしで、どこかで見つけたメールアドレスのリスト
宛てに送り付けてくる詐欺メール。
メールアドレスを偽装したって簡単に見破れますから！

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)