『詐欺メール』イオンクレジットサービスから『安全性向上のためのご協力をお願いします』と、来た件

★フィッシング詐欺解体新書★

存在しない社名を使う

しかし次から次へとよくもまあこんなにたくさんの詐欺メールが送れるものですね。
ここでご紹介しているのはそのほんの一握りで、これ以外にもAmazonや三井住友銀行など
様々なショップサイトや金融機関などの名を借りて大量に送られてきています。

さて、今回ご紹介するのはこちらのメールです。

イオンクレジットサービス(株)を騙って送られてきた詐欺メールです。
『カード情報保護のための重要な確認手続き』が必要なことが書かれていますが、どうやら既にカードの
利用制限が掛けられているようです。
『近日中に、お客様のカード利用について、ご本人様のご利用かどうかを確認させていただく』と
あるのにそれ以前に利用制限とは合点がいきませんが、詐欺メールなのでそんなのお構いなしです。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『[spam] 安全性向上のためのご協力をお願いします』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”イオンクレジットサービス株式会社” <infoobk@email.aeon.co.jp>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

残念ですねが、この『イオンクレジットサービス株式会社』って会社はもう存在しません。
こちらの『WAONからのお知らせ』と言うサイトで確認できますが、イオンクレジットサービス株式会社は
6月1日からイオンフィナンシャルサービス株式会社に合併吸収されたと書かれています。
今日が8月17日ですから2か月以上前のお話です。
なのにこの差出人が『イオンクレジットサービス株式会社』を名乗っているのはおかしな話ですよね！

ロシアのプロバイダーを利用

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。

ほらほら、メールアドレスにあったドメイン”aeon.co.jp”とは全く異なる”pour-58.vm.sshvps.ru”なんて
ドメインが記載されていますよ。
これはもう間違いなくメールアドレスは偽装されていますね！

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字”91.220.163.243”は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス””は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは、『Media Land LLC』と言うロシアのプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、最近よく見掛ける地点のロシアの「サンクトペテルブルク」付近。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

サイトは管理者により接続不可に

では引き続き本文。

このメール、末尾にビジネス文章の締めに使われている『敬具』と言う文字が使われていますが、
一般的に冒頭の言葉で使われる『拝啓』とセット。
なのに締めの『敬具』だけ単独ってのはちょっとおかしいですよね。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『ご利用確認手続き』って書かれたところに付けられていて、
そのリンク先のURLとトレンドマイクロの「サイトセーフティーセンター」での
危険度評価がこちらです。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは”aeonhelp.org”
このためだけにお金かけて取得したんですね…(;^_^A

このドメインを割当てているIPアドレスを取得してみます。

このドメインを割当てているIPアドレスは”107.173.125.152”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているホスティングサービスは『ColoCrossing』

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
ピンが立てられたのは、アメリカの『ダラス』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

試しにどのようなサイトにつながるのかリンク先を訪れてみましたがこのような結果になりました。

エラーでしょうか、なにやら中国語で書いてありますね。
Google先生にお願いして翻訳してみると…

『管理者によって停止されています』と書いてあるので、管理者自身がこのサイトに接続できないように
何らかの手段を講じたようです。
恐らくは、ホスティングサービス側が危険を察知してブロックしたものと思われます。

まとめ

と言うわけで、このドメインを使ったこのサイトでの詐欺サイトは消滅したようです。
でも、奴らはいくつものサーバーを使って詐欺サイトを構築するので安心なんて全然できません。
また新たなホスティングサービスを利用して次の手を使うことと思います。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;