『詐欺メール』チケットぴあから『KCON JAPAN 2023、JUJU、Kep1er、森山直太朗、東京スカパラダイスオーケストラ ほか、おすすめ情報！』と、来た件

★フィッシング詐欺解体新書★

会員でもないのにお知らせが

会員でも何でもない私に『チケットぴあ』からこのようなメールが届きました。

このメールは、俗にいう『フィッシング詐欺メール』と呼ばれるもので、チケット購入を装い
リンク先で、住所氏名など個人情報と、購入手続きとしてクレジットカードの情報を盗み取ろうと
するものです。
この下にもズラズラとアーティストの一覧が続くので全容を見たいという方は『こちら』をご覧ください。

もし、興味のあるアーティストがこの中に居たりしたら、つい騙されてポチってしまいそうで
非常に悪質な詐欺だと言えますね。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『[spam] KCON JAPAN 2023、JUJU、Kep1er、森山直太朗、東京スカパラダイスオーケストラ ほか、おすすめ情報！』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”ぴあ/お知らせ” <kipvifbkapet@aheadwing.com>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

チケットぴあの公式サイトのURLドメインで分かるように、ドメインは”pia.jp”で
決して”aheadwing.com“なんて社名を全く彷彿とされないドメインではありません。

詐欺メールであることを立証し

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

先に書いた通り”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”aheadwing.com”が差出人本人のものなのかどうかを
調べてみます。

これがドメイン”aheadwing.com”の登録情報です。
これによると”61.135.129.171”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIP”178.212.49.92”と同じ数字の羅列になるはずですが
それが全く異なるのでこのメールのドメインは”aheadwing.com”ではありません。
これでアドレスの偽装は確定です！

ついでにこの”Received”のIP”178.212.49.92”を逆引きし何かドメインが割り当てられているのか
確認してみます。

このように”Received”にも書かれていた”lss.net.pl”なんてポーランドの国別ドメインが
割り当てられていました。

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
記載されている末尾の数字は、そのサーバーのIPアドレスになり、これを紐解けば差出人の素性が
見えてきます。
このIPアドレスを元に危険性や送信に使われた回線情報とその割り当て地を確認してみます。

このIPアドレスを元に割り出した危険度は『脅威レベル：高』
その詳細は『サイバーアタックの攻撃元』表示とされています。

送信に利用されたのは、『Lubuskie Sieci Swiatlowodowe Sp. z o. o.』と言うポーランドのプロバイダー。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、こちらもポーランドの『ミエンジジェチ』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

よく考えてみてください。
日本最大級のチケット販売サイトが、自社ドメインではないメールをポーランドのプロバイダーにある
サーバーを利用しユーザーにメールでアーティスト情報を配信するなんて考えられませんよね！

IPアドレスむき出しのリンク先

本文には、アーティストのツアー紹介と共にチケット予約サイトへのリンクが付けられています。
そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での危険度評価がこちらです。

IPアドレスむき出しのURLですね。(;^_^A
トレンドマイクロでは既にしっかりブラックリストに登録済みです。
リンクへ移動してもサイトはブロックされるでしょう。

このむき出しのIPアドレスを元にサイト運営に利用されているホスティングサービスと
その割り当て地を確認してみます。

利用されているウェブサーバーはロシアの『Kisara LLC』なんてホスティングサービスのようです。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
地図上にピンが立てられたのは、こちらもロシアの『モスクワ』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

『DDOS-GUARD』と言うページタイトルの『私はロボットではありません』と書かれた
”reCAPTCHA”ページが表示されました。
『DDOS-GUARD』に付いて調べてみると、外部DDoS攻撃をリアルタイムに検知し、遮断してお客様を
保護するサービスだそうです。
『ネットワークから不審なトラフィックが検出されました。 続行するには認証を受ける』と書いてあるので
DDoS攻撃を遮断したということなのでしょうか？…よくわかりませんね。^^;

まとめ

最近この手のメールが多くなってきているような気がします。
詐欺師もアホじゃないので色々手を変え品を変え何とかカード情報を引き出そうとあれこれ考えてきます。
差出人のメールアドレスや、リンク先のURLのドメインを見れば必ず詐欺だと見破ることができますので
こういったメールが届いたら安易にリンクを開かずに使われているドメインをご確認ください。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;