『詐欺メール』「ヤマト運輸株式会社：確認が必要」と、来た件

「ヤマト運輸」の名を借りた詐欺メール復活

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

1. ★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

メールアドレスに注目

一時影を潜めていた「ヤマト運輸」を名乗る詐欺メールですが、新たな件名で復活したようです。
それがこちらのメール。

難癖付けてリンクに誘い込もうとするのは、詐欺メールの真骨頂。
今回もご多分に漏れず荷物の情報に誤りがあると書かれています。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は「[spam] ヤマト運輸株式会社：確認が必要」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”ヤマト運輸株式会社” <kuronekoyamato@kkm660.com>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

アカウント名は”kuronekoyamato”と書いてありますが、@以降のドメイン部分がヤマト運輸の
ものではありません。
因みにヤマト運輸さんの公式ドメインは”kuronekoyamato.co.jp”です。

もうこれで詐欺メール確定ですね！

ヤマト運輸さんがカリフォルニアのサーバーを使う

では、このメールのヘッダーソースの”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。

Received:「from mail2.kkm660.com (mail2.kkm660.com [107.172.53.35])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”107.172.53.35”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。
代表地点としてピンが立てられたのは、ロサンゼルスにある「カリフォルニア州交通局」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようですが
ヤマト運輸さんがわざわざよそのメールアドレスを使ってカリフォルニアにあるメールサーバーから
メールを送るなんて…(笑)

URLをよく見ると…

では引き続き本文。

この度はヤマト運輸株式会社をご利用いただき、誠にありがとうございます。
お客様がご依頼いただいたお荷物の情報に誤りがある可能性がございます。再度お送りする前に、お客様のご確認をお願いいたします。
お手数ですが、以下のリンクよりお客様の情報を確認していただき、誤りがある場合は修正をお願いいたします。

確認する
====================================================
荷物のお届け遅延について
最新のお荷物の集配および直営店の営業状況は、こちらをご確認ください。
お客様のご協力をお願い申し上げます。
====================================================

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは「確認する」って書かれたところに付けられていて、そのリンク先のURLが
こちらです。

”kuronekoyamato”じゃなくて”kunroekoyamto”と”n”の位置が間違っています。(笑)
それにこのURLのドメイン部分は”kunroekoyamto.co.jp”ではなく”ceasrtcase.club”です。

このリンク先のサイトステータスをGoogleの「セーフブラウジング」で確認してみると。
このように既に危険なサイトとして評価されていました。

このURLで使われているドメインは、サブドメインを含め”kunroekoyamto.co.jp.ceasrtcase.club”
このドメインを割り当てているIPアドレスを取得してみます。

このドメインを割当てているIPアドレスは”198.46.158.17”
このIPアドレスも割り当て地を確認してみます。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
今度代表地点としてピンが立てられのは、「シカゴ」付近。
フィッシング詐欺サイトは、この付近に密集しています！
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

相変わらず間延びしたバナーが2つ配されたページが開きました。
宛先が間違っていて荷物が滞っているようです。

沼にはまってみる

「登録情報を確認する」って書かれた黒いボタンを押してどのように詐欺を行うのかちょっとだけ
沼にはまってみることにします。

次に表示されたのは「宛先情報確認」と書かれたフォーム入力画面。

宛先確認なのに番地と建物、部屋番号が必須でないのはどうしてなのでしょうね？(笑)
それに番地の次にある「地」って何を書くところなのか？(;^_^A

ま、そんなことどーでも良いのでそこら辺は適当に打ち込んで「個人情報の確認」と書かれた
黒いボタンを押してみます。

すると次に表示されたページには、なぜだか支払い情報の入力フォームです。

以前の詐欺メールの時は、再配達料の100円をカードから払わせようとしていましたが
今回はこのように書かれています。

再発送はあなたの箇人の身分を検証する必要があって、あなたの常用のカード番号を入力してください、
100円控除を身元確認にして、ご本人であることを確認する、認証完了から1営業日以内に
クレジットカードに返金されます。

なんだか日本語がちょいとおバカな説明書きですよね。
「箇人」って書き方、日常ではあまり使買わないと思うのですが、一般的には「個人」と書くと思います。
どうやら今度は、保証金として100円を払えなんて何とかカード情報を聞き出そうと無理くりな理由が
書かれています(笑)もちろんすべて嘘なので支払ってはいけませんよ！