午前中だけで『セゾンカード』を装ったフィッシング詐欺メールが6通週明けの月曜日、午前中にバタバタと『セゾンカード』を装ったフィッシング詐欺メールが6通。
午前中だけで6通って、凄いでしょ?(-_-;)
全然嬉しくないのですが…
件名にはそれぞれしっかりと『セゾンカード』と書かれているのに、その中に1通だけ送信者欄に
『三井住友銀行』と書かれたものが。。。(笑)
 でも中身は、他のものと同じでセゾンカードからの第三者不正利用の通知。
わざとしてるのか、それともあまりの多さに捌ききれずに間違ってしまったのか。
ま、私にはどーでも良いことですが。(笑) さて今回取り上げるのは、そんな馬鹿げたメールではなく…(笑)
こちらの『NTTどこも』を装った詐欺メール。
 書いてあるのは、これもいつも通り第三者不正利用の通知ですがね。(;^_^A では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は『[spam] 【重要】dカードが利用停止のお知らせ』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は
『”株式会社NTTドコモ” <info@docomo.ne.jp>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 『NTTドコモ』を検索していただければ分かると思いますが”docomo.ne.jp”は
NTTドコモさんの公式なドメインです。
でも、このメールの件名を見れば分かる通り悪意の有るもの。
なのでこのアドレスは間違いなく偽装されています。
国内最大手のキャリアサービスが中国のプロバイダーを?!では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 | Received:『from beieyy (unknown [112.51.62.107])』 |
”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。 ※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する では、メールアドレスにあったドメイン”docomo.ne.jp”が差出人本人のものなのかどうかを
調べてみます。
 これがドメイン”docomo.ne.jp”の登録情報です。
もう既に終了してしまったNTTドコモの『iモードサービス』の名義で取得されたドメインだったんですね。
これによると”52.223.34.187”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIPと同じ数字の羅列になるはずですが、それが全く異なるので
このメールのドメインは”docomo.ne.jp”ではありません。
これでアドレスの偽装は確定です! ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
記載されている末尾の数字は、そのサーバーのIPアドレスになり、これを紐解けば差出人の素性が
見えてきます。
このIPアドレスを元に危険性や送信に使われた回線情報とその割り当て地を確認してみます。
 送信に利用されたプロバイダーは、中国の『China Mobile(中国移動通信)』 位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。 代表地点としてピンが立てられたのは、これまた中国で『広東省 深セン市』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようですが
国内最大手のキャリアサービス企業がわざわざ中国のプロバイダーを使ってメールを送るなんて
天地がひっくり返ってもあり得ないお話です。
PCからは接続できずでは引き続き本文。 【株式会社NTTドコモ】ご利用いただき、ありがとうございます。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、dカードのご利用を一部制限させていただき、ご連絡させていただきました。つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
ご回答をいただけない場合、dカードのご利用制限が継続されることもございますので、予めご了承下さい。 ■ご利用確認はこちら ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何とぞご理解賜りたくお願い申しあげます。 |
このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『■ご利用確認はこちら』って書かれたところに付けられていて、
そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。
 既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。 このURLで使われているドメインは、サブドメインを含め”docomo.hsxe.ltd”
”.ltd”なんて見慣れないドメイン、使ってるのは詐欺師くらいです。。。 このドメインにまつわる情報を取得してみます。
 このドメインの管理者は中国の方のようです。
このドメインを割当てているIPアドレスは”194.124.216.229”
再びこのIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を
確認してみます。
 利用されているウェブサーバーは、ドイツに拠点を置く『xTom GmbH』なんてホスティングサービス。 こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
今度地図上にピンが立てられたのはオランダの『アムステルダム』付近。
これらの調査では時折見られる地図の位置ですね。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 リンク先のサイトへPCから行ってみましたが、白地に黒字で『お客様の携帯ブラウザで登録してください』
と書かれたページが開きPCからの閲覧は拒否されました。
スマホから閲覧してみようと思ったんですが、PCより虚弱なのでやめておきます。
まとめスマホから接続すると、恐らくNTTドコモの偽のログイン画面が開き、騙されてログインしてしまうと
次々と個人情報やカード情報等と問い合わせられ、フォームを埋めてしまうとそれら全てが詐欺師に渡り
詐欺を実行されてしまうことでしょう。 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
