『お客様お客様』と『お客様』を連呼するイオンカードの詐欺メールも最近多発していますね。
昨日の深夜、私の所にもこのような悪質なメールが届きました。
 最近主流になってきているのは、差出人のメールアドレスのアカウント部分(@以前)に受取人の
メールアドレスのアカウントが含まれているもの。
このメールもご多分に漏れることなく”aeon-”の後ろに私のアカウントが書かれていました。
逆にこんなことしたら不審に感じると思うのですが…(;^_^A このメール、不思議なことに『お客様お客様』と『お客様』を連呼しているのですが何故なのでしょう? この『犯罪収益移転防止法に基づき、お取引を行う目的等を確認』って言うのは、最近金融機関で
一般に行われているもの。
このメールは、それに乗っかった便乗詐欺と言えるでしょう!
一般的に金融機関は、このような個人情報に関わる確認はインターネット上ではなく書面で行うと思います。 では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は『[spam] アカウント保護のために【イオンカード】情報確認手続きにご協力ください』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は
『イオンクレジットサービス株式会社 <aeon-*****@email.aeon.co.jp>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 確かにアドレスに使われているドメイン”aeon.co.jp”は、イオングループの公式なものですが
このメールには悪意があるので偽装されています。
その辺を次の項目で詳しく見ていきましょう!
発信サーバーは隣国にありでは、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 | Received:『from kmfizwyneqop6.example.com (unknown [92.38.160.55])』 |
ほらほら、もう既にここには”aeon.co.jp”ではない”kmfizwyneqop6.example.com”なんてドメインが
書かれていますよ! この”Received”に記載のIPアドレスは差出人が利用したメールサーバーに割当てられたもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。 ※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する やるまで無いと思いますが、一応儀式なので…
メールアドレスにあったドメイン”aeon.co.jp”が差出人本人のものなのかどうかを調べてみます。
 これがドメイン”aeon.co.jp”の登録情報です。
これによると””がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIPと同じ数字の羅列になるはずですが、それが全く異なるのでこのメールの
ドメインは”aeon.co.jp”ではありません。
これでアドレスの偽装は確定です! ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字”92.38.160.55”は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。
 送信に利用されたのは、ロシアのルクセンブルクにある『G-Core Labs S.A.』と言うプロバイダーです。 位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。 代表地点としてピンが立てられたのは、隣国『ソウル』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
サイトは既にしっかりブラックリストに登録済みでは引き続き本文。 | イオンダイレクトをご利用いただき、誠にありがとうございます。 当 社では、犯罪収益移転防止法に基づき、お取引を行う目的等を確認させていただいております。
また、この度のご案内は、当社ご利用規約第 9 条1 項 7 に基づくご依頼となります。 お 客様お客様の直近の取引についていくつかのご質問がございます、下記のリンクをアクセスし、ご回答ください。 お取引確認 ※ 一定期間ご確認いただけない場合、口座取引を一部制限させていただきます。
※回答が完了しますと、通常どおりログイン後のお手続きが可能になります。 お 客様のご返信内容を確認後、利用制限の解除を検討させていただきますので、できる限り詳細にご回答ください。 |
このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『お取引確認』って書かれたところに付けられていて、
そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。
 既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。 このURLで使われているドメインは”aeonassist.com”
このドメインを割当てているIPアドレスの情報を取得してみます。
 このドメインを割当てているIPアドレスは”205.185.121.2”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。
 利用されているホスティングサービスは、いわゆる『防弾ホスト』と呼ばれている『FranTech Solutions』 こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
今度ピンが立てられたのは、アメリカ・ネバダ州・ラスベガスにある『ハリー・リード国際空港』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 試しに詐欺サイトへ行ってみましたが、接続するとすぐにリダイレクト(自動転送)されて本物の
イオンカードの公式サイトへ飛ばされてしまいました。
これが最初から意図的にこうしているのであれば愉快犯の仕業。
でも、途中で何らかの理由があってリンク先を切り替えたのであれば詐欺犯の仕業。
今となってはそれを知る由もありませんが、トレンドマイクロの『サイトセーフティーセンター』での
危険度評価から鑑みて後者が正しいような気がします。
まとめ先にも書きましたが、最近差出人のメールアドレスのアカウント内に受取人のアカウントを挿入している
ものが頻繁に見掛けられます。
ま、恐らく同一犯の仕業でしょう。
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
