『詐欺メール』森永ダイレクトストアから「【約67％OFF】コラーゲンに特化したオールインワンジェル」と、来た件

★フィッシング詐欺解体新書★

山田香織ってダレ？

『山田香織様』宛に『森永ダイレクトストア』を名乗るメールが、なぜか私のところに到着。
長いメールなので縮小して貼り付けておきます。
詳しくご覧になりたい方はクリックし拡大してご覧ください。

これは『コラーゲンモイストジェル』と言う化粧品の売り込みメールのようです。
なんでも今注文すると5,500円の品物が67％OFFの2,000円となり、更には送料まで無料に
なるそうです。
宛名が『山田香織』なのも忘れて、ついついリンクを押してしまうのが人間のサガ。
でもそんな甘い話ありませんよね！
このメールはどうやら悪意があって私のもとに送られてきた詐欺メールのようです。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は「【約67％OFF】コラーゲンに特化したオールインワンジェル」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
どういう訳か知りませんが、この手のメールの件名付けられる”[spam]”と言う見出しスタンプが
付けられていません。
最近うちのサーバーちょいちょい手抜きしてきますね…(-_-;)

差出人は
「”森永製菓 森永ダイレクトストア” <ma-bailly@d3go7.km.mycardplan.site>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

はい、このメールアドレスから森永を連想させる文字は1つたりともありません。
こんな大手の企業なら、メールアドレスから社名を連想できる文字を必ず使うはずです。
ですからこの差出人は森永製菓ではない可能性が非常に高いですね！

別のドメインが浮上

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。

先に書いた通り”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”d3go7.km.mycardplan.site”が差出人本人のものなのかどうかを
調べてみます。

調べる以前の問題視でしたね。
このドメインは現在どのIPアドレスにも割り当てられていません。
IPアドレスに割当てられていないドメインは、ネット上で利用することはできないので
これでアドレスの偽装は確定です！

”Received”にはこのドメイン以外に”hinet-ip.hinet.net”なんてドメインも記載されていますね。
このドメインの情報も拾ってみることにします。

割当てているIPアドレスが”Received”のIPアドレスを合致しました。
この差出人の本当のドメインは”d3go7.km.mycardplan.site”ではなく”hinet-ip.hinet.net”であることが
これで判明しました。
このドメインを管理しているのは台湾最大の電気通信事業者の『Chunghwa Telecom(中華電信)』です。
恐らくこの差出人は、この企業にドメインの管理を委託しているのでしょう。

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
記載されている末尾の数字は、そのサーバーのIPアドレスになり、これを紐解けば差出人の素性が
見えてきます。
このIPアドレスを元に危険性や送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのプロバイダーも『Chunghwa Telecom(中華電信)』でした。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのも当然台湾で台北付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

詐欺サイトは閉鎖されました

本文は、ご覧いただいた通り化粧品の紹介となっており。
詐欺メールですから詐欺サイトへのリンクが付けられています。

そのリンクは「ご注文はこちら」って書かれたところと「詳しくみる」って書かれたところに付けられていて
そのリンク先のURLとNorton「Safe Web」での危険度評価がこちらです。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。。

このURLで使われているドメインは”shorturls.link”

このドメインにまつわる情報を取得してみます。

このドメインは、カナダのオンタリオ州で管理されているようです。
このドメインを割当てているIPアドレスは”94.23.146.45”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

おっと、このIPアドレスはやはりその界隈では危険なものと認識されていて、サイバーアタックの攻撃元
として知られているようです。

利用されているウェブサーバーは、フランス・ルーベの欧州最大のクラウドコンピューティング会社
『Ovh Isp』のものです。
こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
地図上にピンが立てられたのは、オランダの『ロッテルダム』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

森永製菓が、フランスのホスティングサービスを利用しオランダに設置されたサーバーで商いを行う。
あり得ないお話ですよね！

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

大きなビックリマークと、何やら英語で説明が書かれていますね。
翻訳してみます。

このメール、届いたのが今から7時間ほど前。
どうでしょう、いくら何でもそんなに早く詐欺師側が自主的に閉鎖するとは思えないので
恐らくはホスティングサービスが危険を察知してサーバーを強制的に停止措置したものと思われます。

まとめ

とりあえず詐欺サイトは閉鎖されたようなので一安心。
でも、詐欺師がそう簡単にあきらめるとは思えないので、また別のリンク先を作り罪を重ねるものと
思われるので今後も注意が必要です。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;