「ヤマト運輸」を騙る詐欺メールが復活 少し前、一時流行していた「ヤマト運輸」を騙る詐欺メールが復活したようで、今朝私のメールボックスに
バタバタと3通到着していました。
それぞれ件名は以下の通りです。
『【クロネコメンバーズ】大至急❗️配達状況お問い合わせ』
『【ヤマト運輸】サービスをご利用頂き、誠にありがとうございました。』
『【ヤマト運輸】お届け先の住所が正しくなくて、お届けできません。すぐに対応してくださ』 最後の1通は中途半端に件名が切れてしまっていますね(笑)
下2通は同じ本文なので時系列の古い1通は割愛させていただくとして
今回ご紹介するのはこちらのメールです。
 これによると、シンガポールからの国際郵便が宛先と電話番号が間違っていて配送できない旨が
記載されています。
良く見ると、本文冒頭の宛名が私の仕事用メールアドレスですが、送り状があるはずなので
このメールの差出人は私の氏名を知っているはず。
でも不思議ですね、それなのになぜ、ヤマト運輸が知るはずもない私のメールアドレスを
宛名として記載してあるのでしょうか?
それに「配送情報を補充してください」って日本語にも違和感がありますね。
一体どこの誰がこのようなメールを私に送ったのでしょうか? では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は「[spam] 【ヤマト運輸】サービスをご利用頂き、誠にありがとうございました。」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「”ヤマト運輸” <info@kuronekoyamato.co.jp>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 間違いなく”kuronekoyamato.co.jp”はヤマト運輸さんが管理するドメインですが、このメールは
件名の件名には”[spam]”が示す通り悪意の有るものですから簡単には信じられません。
IPアドレス違いますけど? では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。 これがこのメールいくつかある”Received”の時系列で一番古い物で、差し出して最初に通過した
サーバーが記したものです。 このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。 ※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する では、メールアドレスにあったドメイン”kuronekoyamato.co.jp”が差出人本人のものなのかどうかを
調べてみます。
 これがドメイン”kuronekoyamato.co.jp”の登録情報です。
当然ですが、ヤマト運輸株式会社さんの持ち物。 これによると”23.43.249.24”がこのドメインを割当てているIPアドレス。
当然このメールはこのドメインを利用しているので、割り当てられているIPアドレスは
本来同じでなければなりませんよね?
でも”Received”のIPアドレスは、先ほど見ていただいた通り”137.241.41.196ですから全く異なります。
これでアドレス偽装は確定。
やっぱりウソのメールアドレスだったんですね!
この方にはしっかり罪を償っていただかなければなりませんね! ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス””は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。
 メール送信に利用されたホスティングサービスはアメリカの「Air Force Systems Networking」と言う
プロバイダーです。 位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。 代表地点としてピンが立てられたのは、「アメリカ アラバマ州 モンゴメリー」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
再配達には100円が必要だと?! では引き続き本文。 (本文をそのままコピペしているの文字化け等はご容赦ください) 宛先と電話番号に誤りがあるためリンクから補充?するように促していますね。
よく読むと、何やら再配達には100円が必要だそうです。
国内便では再配達料なんて聞いたことありませんが、国際便だと必要になるのでしょうか?
いやいや、騙されてはいけません!これは犯人がカード情報を入手したいがためについている大嘘です! このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンク箇所は2箇所あり赤字にしておきました。
どちらもリンク先URLは同じで、そのリンク先はGoogleの「透明性レポート」の
サイトステータスはこのようにレポートされていました。
 このURLは、既に危険なサイトのものとしてブラックリストに登録されていました。
このようなサイトには立ち寄らない方が良さそうですね。 少し見難いですが、このURLで使われているドメインは”www.kueronakayaeotn.co.jp.wk178.cn”
見れば中国の国別ドメインじゃないですか!
このドメインにまつわる情報を取得してみます。 
このドメインの所持者は、詐欺サイトの調査でよく見かける中国の企業です。
割当てているIPアドレスは”155.94.128.58”
このIPアドレスを元に、利用されているホスティングサービスやその割り当て地を確認してみます。
 またここですか…
この地図は実に良く見掛けます。
こちらも一応Pアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
代表地点としてピンが立てられのは、ロサンゼルスのリトルトーキョーに程近い場所。
フィッシング詐欺サイトは、ほんとこの付近に密集しています!
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。
沼に足を入れてみると 危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。
 いつもヤマト運輸になりすます詐欺サイトはこのページですね。
送り状番号も全く同じ(笑) 「登録情報を確認する」と書かれたボタンを押すと、次に現れるのは本人確認と称した
個人情報を入力させるフォーム画面。
犯人は、ここを埋めさせて個人情報を詐取するのです。
 適当に埋めて先に進むと…
 メールにもありましたが、ここでは「再配達保証金」名目でカード情報を問われます。
配達完了後にこの金額は、カードに返金されると書かれていますが、そんなの真っ赤な嘘で
骨の髄まで搾り取られてしまいます!
まとめ いかがでしたでしょうか?
これが「ヤマト運輸」さんの詐欺メールのあらましです。
これ以外にも「【クロネコメンバーズ】大至急❗️配達状況お問い合わせ」なんて件名のメールも
届いています。
これはまた次の機会にでもご紹介することにいたします。 でも恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
