『詐欺メール』「e-Tax税務署からの【未払い税金のお知らせ】」と、来た件

★フィッシング詐欺解体新書★

所得税の滞納だって

何やら税務署を名乗る輩からおかしなメールが届いていますよ。

このようなメールは今までにも何度か届き、うちのサイトでも度々ご紹介してきましたが
久しぶりに届いたので身を引き締める意味で再びご紹介することにいたします。

我慢できずに色々落書きしちゃいましたが、もちろんこのメールは税務署を騙ったフィッシング詐欺が
目的のもの。

上から見ていくと、まず差出人のメールアドレスは国税局や税務署のものでは無く、何と書いてあるのは
「ETC利用照会サービス」さんのもの。
恐らくこの差出人は、こちらの詐欺メールにも加担していて、意図的かどうかわかりませんが
書き直すのを忘れたのかそれとも暗にこれが偽メールだと示す愉快犯なのかもしれませんね。

本文冒頭の宛名が受信先メールアドレスのアカウント(＠より前)が記載されています。
もし本当に差出人が税務署で内容が未納の督促なら絶対私の氏名を知っているはずです。
それなのに宛名がアカウント名と言うのは全く解せません。

「 ( 」に対して「 ) 」が足らなかったり、所々当用漢字には無い文字が使われていたりと、もしかして
差出人は日本人ではない可能性がありますね。

このメールの到着日は6月1日。
で、納税期限が6月2日って、全く猶予が無いじゃありませんか！
もし何らかの都合でこのメール見られない環境に居て見逃していたとしたら…

「国税電子申告・納税システム（e-Tax）」にメールアドレスを登録いただいた方と書いてありますが
私には全くその記憶はありません。

と、いろいろ書きましたが所詮メール。
難癖付けても仕方ありませんね！

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は「[spam] e-Tax税務署からの【未払い税金のお知らせ】」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”nta” <admin@ml.etc-eisai.jp>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

先にも書きましたが、このメールにあるドメイン”etc-eisai.jp”は「ETC利用照会サービス」さんの
ドメインです。
税務署は国税局の管轄で国の行政機関ですから、利用されるドメインは必ず”go.jp”です。

差出人の本当のメールアドレスは？

このメールはどこからどう見ても明らかにフィッシング詐欺メールですが、誰がどこから
このようなメールを送ってきたのか詳しく見ていきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。

何やら”oh56ep.cyou”なんてドメインらしき記載がありますね。
どうやらこれが差出人が利用する本当のメールアドレスにあるドメインのようです。
このドメインに付いて少し調べてみます。

これがドメイン”oh56ep.cyou”の登録情報です。
申請登録は中国貴州省からの模様。
これによると”106.225.212.196”がこのドメインを割当てているIPアドレス。
”Received”のIPど合致しましたので、やはりこの差出人の利用しているメールアドレスのドメインは
”oh56ep.cyou”であることは明らかです。

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”106.225.212.196”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

メール送信に使われたプロバイダーは「CHINANET Jiangx province IDC network」と
これまた中国のホスティングサービス。
この差出人は、とても中国に関わりの多い人物のようですね。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、「中国 江西省(Jiangxi) 南昌市(Nanchang Shi)」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

詐欺サイトはカリフォルニアに

では引き続き本文。

(原文をそのままコピペしてあるので文字化け等はご容赦ください)

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは「お支払いへ⇒」って書かれたところに付けられていて、そのリンク先のURLとを
トレンドマイクロの「サイトセーフティーセンター」やGoogleの「透明性レポート」での
調べてみましたが、どこもまだブラックリスト入りしていませんでした。

リンク先サイトのURLはこのように、国税庁とは全く異なるものになっています。

このURLで使われているドメインは、サブドメインを含め”nta.huipishou.com”
このドメインにまつわる情報を取得してみます。

このドメインを割当てているIPアドレスは”156.251.30.64”
このIPアドレスを元に、利用されているホスティングサービスやその割り当て地を確認してみます。

リンク先詐欺サイトを運営しているサーバーを管理しているのは「Tcloudnet Inc」と言う
シンガポールにあるホスティングサービス。

次に位置情報。
こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
代表地点としてピンが立てられのは、アメリカカリフォルニア州にあるサンノゼ付近。
フィッシング詐欺サイトは、この付近に密集しています！
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

新種なのかどこもブラックリストに未登録

トレンドマイクロの「サイトセーフティーセンター」やGoogleの「透明性レポート」のレポート
からすると、リンク先の詐欺サイトは、どこからもブロックされることなく無防備な状態で
放置されていると思われます。
そんなサイトに、調査を目的で安全な方法を利用して訪れてみることにします。

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

またしても当用漢字には無さそうな感じがいくつも使われていて「 ) 」は1つもも閉じられていませんね(笑)

「お支払いへ」と書かれたボタンを押してみると…

先程と同じくだりが書かれていて、その下には個人情報を入力するフォームと、支払方法の選択ボタンが
表示されています。
この税務署を騙る詐欺メール共通なのですが、いくつか支払い方法は用意されているものの
利用できるのはいつも、ネット専用Visaプリペイドカードの「Vプリカ」のみとなっています。(笑)
じゃ他の選択肢書かなくてもいいじゃんって話しです。

まとめ

ま、このようなおかしなメールを信じる人はいないとは思いますが、久しぶりなので
一応取り上げてみましたがいかがでしたでしょうか。

でも恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;