イオンがYahoo!のメールアドレスで?! このように『犯罪収益移転防止法』をネタにし『お客様』を連呼するテンプレートを使った
詐欺メールが最近大変多くないっています。
今日も『イオン銀行』や『三菱UFJ信託銀行』と称したものがいくつか届いています。
 上段のイオン銀行を騙るものなんてメールアドレスがなぜだか”szifrxzc@yahoo.co.jp”なんて
Yahoo!のメールアドレスが使われています。
もしかしてまさかイオン銀行のメール代行をYahoo!が請け負ったりなんてしてませんよね?…(笑) この中から今回は、三菱UFJ信託銀行を騙る詐欺メールにスポットを当て解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は『[spam] 【三菱UFJ信託銀行】お客様の直近の取引における重要な確認について』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は
『”三菱UFJ信託銀行” <info@tr.mufg.jp>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 『三菱UFJ信託銀行』さんのサイトへ行ってURLを確認すれば分かると思いますが”tr.mufg.jp”は
『三菱UFJ信託銀行』さんの公式な正規ドメインですが、このメールの件名には”[spam]”と見出しが
付けられているので、悪意があることは間違いありません。
恐らくは偽装アドレスかと思われますので、その辺りを次項で詳しく見ていきます。
財閥企業が中国から中国のプロバイダーを使って… では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 | Received:『from tr.mufg.jp (unknown [220.178.187.17])』 | ”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。 ※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する では、メールアドレスにあったドメイン”tr.mufg.jp”が差出人本人のものなのかどうかを
調べてみます。
 これがドメイン”tr.mufg.jp”の登録情報。
ドメインの登録者は、当然『株式会社三菱UFJフィナンシャル・グループ』です。
これによると”150.14.52.10”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIPと同じ数字の羅列になるはずですが、それが”220.178.187.17”と
全く異なるのでこのメールのドメインは”tr.mufg.jp”ではありません。
これでメールアドレスの偽装は確定です! ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
記載されている末尾の数字は、そのサーバーのIPアドレスになり、これを紐解けば差出人の素性が
見えてきます。
このIPアドレスを元に危険性や送信に使われた回線情報とその割り当て地を確認してみます。
 このメールの送信に利用されたのは、中国最大のホスティングサービスの『Chinanet』 位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。 代表地点としてピンが立てられたのは、『中国 安徽省 合肥市』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
日本の財閥企業がそんな場所から中国のプロバイダーを利用してメールなんて送るはずありませんもんね!
『犯罪収益移転防止法』とは? では引き続き本文。 | いつも三菱UFJ信託銀行をご利用いただきありがとうございます。 当社では、犯罪収益移転防止法に基づき、お取引を行う目的等を確認させていただいております。
また、この度のご案内は、当社ご利用規約第 6 条2 項 5 に基づくご依頼となります。 お客様お客様の直近の取引についていくつかのご質問がございます、下記のリンクをアクセスし、ご回答ください。 お取引確認 ※一定期間ご確認いただけない場合、口座取引を一部制限させていただきます。
※回答が完了しますと、通常どおりログイン後のお手続きが可能になります。 お客様のご返信内容を確認後、利用制限の解除を検討させていただきますので、できる限り詳細にご回答ください。 | 最近よく見かけるこの『犯罪収益移転防止法』ですが、平成20年3月1日施行された新しい法律です。
これは、犯罪で得た収益をマネー・ロンダリングやテロ行為等へ資金供与することを防止するもので
金融機関や特定取引業者等に対し、取引時確認、取引記録等の保存、疑わしい取引の届出の義務が
課せられています。 まあ小難しいことはこの辺にしててと…(;^_^A
このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『お取引確認』って書かれたところに付けられていて、
そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。
 フィッシングサイトとして既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。 このURLで使われているドメインは、サブドメインを含め”zhuangkuw.com”
このドメインにまつわる情報を取得してみます。
 『Registrant Country: NL』とあるので、登録管理者はオランダの方ですね。
『対応するIPアドレスがありません』とされているので、どうやらこのドメインは現在どのIPアドレスにも
割当てられていないネット上では使うことのできないものになっているようです。
と、言うことは、詐欺サイトは既に詐欺師側が閉鎖させたようですね。
まとめ 一旦サイトは閉鎖されているようなので一安心です。
でも、ドメインは捨てられたわけではないのでIPアドレスを再度割当てればいつでも復活可能な状態
とも言うことができますからもろ手を挙げてとはいきませんよ! 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 