『詐欺メール』『【重要なお知らせ】JALお客様のアカウント情報の更新が必要です』と、来た件

迷惑メール
記事内に広告が含まれています。

JALを騙る詐欺メールにご注意を!
※ご注意ください!
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

連絡先の無いメールにどうやって連絡するの?

再び『JAL』に成り済ます詐欺メールの登場です。

『何かご不明な点がございましたら、お気軽にお問い合わせください。
今後ともJALをご利用いただけますよう、心よりお待ちしております。』
と書いてあるにも関わらず署名欄の無いメールなのでどこに連絡すれば良いのかさっぱり分かりません。
このようなビジネスマナー違反のへーるをJALが送るはずありませんよね!

では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。

件名は『[spam] 【重要なお知らせ】JALお客様のアカウント情報の更新が必要です』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”JAL” <sjpws@tcyzrlca.net>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

JAL』の公式サイトでURLを確認すれば分かりますが、JALさんの正規ドメインは”jal.com”です。
間違ってもこのような大企業が”tcyzrlca.net”なんて社名の欠片も無いドメインを使うはずがありません!
故にこの差出人は、JALの人間ではありません。

空きドメインだった!

では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『from tcyzrlca.net (unknown [123.188.39.65])』

この”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”tcyzrlca.net”が差出人本人のものなのかどうかを
調べてみます。

おや?『対応するIPアドレスがありません』と書かれていて
検索結果にも『No match for “TCYZRLCA.NET”.』とありますね。
これ、もしかして誰にも使われていない空きドメインなのかも…
ってことで『お名前.com』さんでこのドメインが現在取得できるものかどうか確認してみます。

ほらやっぱり!
このドメイン空きドメインです!
当たり前ですが空きドメインを利用してメールなんて送れないのでこれでアドレスの偽装は確定です!

このメールどこから来たのか?

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
記載されている末尾の数字”123.188.39.65”は、そのサーバーのIPアドレスになり、これを紐解けば
差出人の素性が見えてきます。
このIPアドレスを元に送信に使われたホスト情報とその割り当て地を確認してみます。

送信に利用されたのは、中国の『CNC Group CHINA169 Liaoning Province Network』と言うプロバイダー。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、『中国 遼寧省 瀋陽市 瀋河区』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

ログインもさせる間もなくカードの情報まで聞いてきた!

では引き続き本文。

いつもJALをご利用いただき、誠にありがとうございます。

お客様のアカウント情報に不備がある場合、アカウントの停止が発生することがございます。お客様のアカウント情報のご確認をお願い申し上げます。

以下のリンクをクリックして、アカウント情報の更新を行ってください。更新が完了するまで、一部のサービスを制限される場合がございますので、お早めに手続きを行っていただけますようお願いいたします。

アカウント情報の更新ページへ

アカウント情報の更新手続きを行う際には、以下の点にご注意いただきますようお願いいたします。

お客様のアカウント情報が正確に登録されていることをご確認ください。
一部のサービスが制限される可能性がございますので、お早めに手続きを行っていただけますようお願いいたします。
何かご不明な点がございましたら、お気軽にお問い合わせください。今後ともJALをご利用いただけますよう、心よりお待ちしております。

敬具、

JALカスタマーサポート

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『アカウント情報の更新ページへ』って書かれたところに付けられていて、
そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは、”hungfookfood.com
このドメインにまつわる情報を取得してみます。

『Registrant State/Province: JIANG SU』とあるので、このドメインは中国江蘇省の方が
管理されているようです。

このドメインを割当てているIPアドレスは”43.135.10.199
例によってこれを元にサイト運営に利用されているホスト情報とその割り当て地を確認してみます。

サイト運営に利用されているホストは、シンガポールにある『Aceville Pte.ltd』

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
地図上にピンが立てられたのは『香港』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

おっと、ログインもさせないでカードの情報まで聞いてきましたよ!(;^_^A
どこの世界にログインもさせないでカード情報を入力させるサイトがあるの?
あきれてものが言えませんね!

まとめ

このところJALを騙る詐欺メールが目立ちますからしばらくは続くかもしれませんのでご用心ください。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

目次
目次
タイトルとURLをコピーしました