こんなのはメールで来ない
昨夜『ソニー銀行』を名乗るこのようなメールが届きました。
このメールは、ここでご紹介しているのでもちろん詐欺メールなのですが、最近このように
『犯罪収益移転防止法』や『マネー・ローンダリング及びテロ資金供与対策』をネタにした詐欺メールが
大変多くなっております。
これは『犯罪収益移転防止法』に基づき、金融機関等は取引を行う目的等を確認することが
義務付けられたのに便乗したい所謂『便乗詐欺』なので注意が必要です!
この写真は、先日私のところにとある金融機関から届いた取引目的を確認するはがきです。
各金融機関は、便乗詐欺を想定しメールでの情報確認は行わず、このようにはがきや書面にて確認を
行う金融機関が増えております。
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。
件名は『[spam] 【ソニー銀行】お取り引き目的など「お客さま情報」の定期的な確認のお願い』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
差出人は
『"ソニー銀行" <gaa@sonybank.net>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
調べたところによると”sonybank.net”はソニー銀行がユーザーにメールを送るときに使うメールアドレスの
ドメインのようですが、一連の流れからしてこのメールは悪意のある詐欺メールなので偽装の疑いが
強く感じられます。
では、その辺りを次の項で少し詳しく見ていくことにします。
IPアドレスの脅威レベルは『高』
では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。
| Received:『from sonybank.net (unknown [114.102.57.193])』 |
この”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する
では、メールアドレスにあったドメイン”sonybank.net”が差出人本人のものなのかどうかを
調べてみます。
これがドメイン”sonybank.net”の登録情報です。
これによると”23.33.55.187”がこのドメインを割当てているIPアドレス。
本来この4つの数字は”Received”のIPアドレス”114.102.57.193”と同じ数字になるはずですが
比較すると全く異なるのでこのメールのドメインは”sonybank.net”ではありません。
これでアドレスの偽装は確定です!
”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
記載されている末尾の数字は、そのサーバーのIPアドレスになり、これを紐解けば差出人の素性が
見えてきます。
このIPアドレスを元に危険性や送信に使われたホスト情報とその割り当て地を確認してみます。
ほらほら、やっぱり!(;^_^A
このIPアドレスを元に割り出した危険度は『脅威レベル:高』
その詳細は『サイバーアタックの攻撃元』表示とされています。
送信に利用されたのは、『Chinanet』と言う中国のプロバイダーです。
位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。
代表地点としてピンが立てられたのは、『中国 安徽省(あんきしょう) 池州市 青陽県』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
『三井住友信託銀行』の詐欺にも加担か!?
では引き続き本文。
| ソニー銀行をご利用いただき、誠にありがとうございます。
近年、麻薬などの不正取引をはじめとする組織的な犯罪から得た資金の洗浄防止およびテロ資金対策などが重要になっています。
ソニー銀行では、金融庁が2018年2月に公表した「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」に基づき、「犯罪による収益の移転防止に関する法律」などの法令で求められている情報に加え、お客さまのお取り引きの目的やお客さまに関する情報を確認しています。
ソニー銀行でお取り引きしているお客さまに順次、口座のご利用目的やお客さまの情報などを郵送もしくはメールで確認します。
「お客さま情報の確認」をメールで受信したお客さま
メール本文記載のURLより、Webアンケートサイトでお手続きのご協力をお願いします。
お客さま情報の確認
h**ps://moneyk1t.szguanfak.com
※一定期間ご確認いただけない場合、口座取引を一部制限させていただきます。
※回答が完了しますと、通常どおりログイン後のお手続きが可能になります。
お客様のご返信内容を確認後、利用制限の解除を検討させていただきますので、できる限り詳細にご回答ください。 |
(URLは直リンクを防ぐため便宜上一部の文字を変更してあります)
このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に直書きされていていますが、ここへ接続するとリダイレクト(自動転送)され
実際に接続されるURLとトレンドマイクロの『サイトセーフティーセンター』での危険度評価がこちらです。
既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。
このURLで使われているドメインは、サブドメインを含め”www.dlrect.smtb.jp.zhixindianxia.com”
この中に”smtb.jp”なんて見えますが、これ『三井住友信託銀行』さんのドメイン。
もしかしてこの詐欺師こちらの詐欺まで加担しているのでしょうか?…(-_-;)
では、このドメインにまつわる情報を取得してみます。
おっと!『対応するIPアドレスがありません』と書かれているので、このドメインは現在どのIPアドレスにも
割当てられていないようなので利用できないものとなっています。
ということは、リンク先の詐欺サイトは既に閉鎖されているようですね。
ホスト側のアクセス制限ではなく、犯人側が目的を達成したのか、それとも当局の捜査を恐れてなのか
何らかの理由があってIPアドレスの割り当てを放棄しているようです。
まとめ
ご覧いただいたように、ほとんどの金融機関は書面をもって情報の収集を行っていますので
メールでこのような問合せがあっても絶対に相手をしてはいけません!
様々な便乗詐欺が多いのでご用心ください。
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |