『詐欺メール』「【超PayPay祭開催中】最大20,000円OFFクーポンを」と、来た件

★フィッシング詐欺解体新書★

PayPayが中国のドメインメールを利用する？！

今日も相変わらずヤマト運輸を騙るメールと、自称ハッカーからのアダルトハッキングメールが
大量に届いている私のメールボックスなのですが、今回はこちらのメールのご紹介となります。

このメールは「PayPayフリマ」から、初めての買い物で利用できる半額クーポンの案内です。
もちろんこのメールに書かれているのはウソで、気を引く言葉で巧みにリンクに誘い込み
なんだかんだ理由を付けて個人情報やクレジットカードの情報を聞き出そうとするものです。
注目してほしいのは、差出人のメールアドレス。
一目でわかる通り”paypay@ecinfo.cn”で使われているのは中国の国別ドメインです。
PayPayってソフトバンクとZホールディングスの合弁会社でけして中国の企業が出資している
訳ではありませんし、ましてや”paypay.ne.jp”と日本の国別ドメインを持っているPayPayが
どうしてそのようなメールアドレスで大切なユーザーに対してメールを送るのでしょうか？
普通に考えたらあり得ませんよね！

中国が大きく関与

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。

先に書いた通り”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”ecinfo.cn”が差出人本人のものなのかどうかを
調べてみます。

これがドメイン”ecinfo.cn”の登録情報です。
登録者の氏名は、私には読むことのできない漢字が含まれていました。
恐らくは中国の方の氏名でしょうね…
これによると”125.88.224.55”がこのドメインを割当てているIPアドレス。
このメールは、PayPayフリマからではなく詐欺メールですが、”Received”のIPアドレスがと全く同じ
数字なのでこのメールアドレスは、差出人ご本人さんのもので間違いなさそうです。

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
すなわち、差出人が使った送信サーバーの自局情報。
そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”125.88.224.55″は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元に危険性や送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは、「China Telecom」
読んで字のごとくですが、これは中国最大の電気通信企業で、その企業が運営するプロバイダー
を利用してメールを送ったようです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、香港に程近い「広州市 増城区」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

クーポン期限ギリギリ

では引き続き本文。

今日は6月7日で期限も6月7日って、全然猶予無しですね(笑)
詐欺メールらしいわ…

ところで「クーポン期限は06/07（三）23:59まで！」の『三』って何でしょうか？
中国って水曜日のことを「星期三」と言うらしいです。
どうやらこの『三』ってのは、中国の曜日を表しているようです。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは「ポイント獲得確認」って書かれたところに付けられていて
そのリンク先はGoogleの「透明性レポート」の
サイトステータスはこのようにレポートされていました。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは、”pajike.icu”なんてもうPayPayの欠片もありませんね。(笑)

このドメインを割り当てているIPアドレスを取得してみます。

このドメインを割当てているIPアドレスは”91.149.239.102”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているウェブサーバーは、アメリカにある『Baxet Group Inc.』なんてホスティングサービス
のようです。
調べるとこのホスティングサービス、あまり良い噂を目にしませんね。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
表示されているのはロサンゼルスにあるカリフォルニア州交通局付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

PayPay本物そっくりのログインページが開きました。
ここに携帯電話番号とパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に
流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。

まとめ

こうやってブログ記事書いている最中にも、これと同じメールがまた1通届きました。
どうやら蔓延の兆しですね。(;^_^A

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;