『詐欺メール』『【大切なお知らせ】利用中のETC会員再設定手続きのご確認』と、来た件

滅茶苦茶な本文

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

1. ★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

『ごんべん』おかしくない？

相変わらず続く『ETC利用照会サービス』さんを騙る詐欺メール。
今日もこのようなメールが私の元に届いております。

我慢できずに落書きしちゃいましたが、どうやらこの作者は中国の方のようで、一部ごんべんの
フォントが崩れてしまっています。

読んでみると、長期間サービス利用が無いのでアカウントが初期化されてしまったと書かれていて
リンクにログインして個人情報の再設定を行うように促しています。

気になりますね『客様のETC会員初期化されています』って部分。
普通なら『客様のETC会員は初期化されています』でしょ？勝手に略しちゃいけません！

リンクのURLの下には箇条書きで注意事項が書いてありますね。
1つ目の注意事項には『変更後、3日以内に発効する必要があり』とありますが、発効って言葉
引っかかります。
発効って法律とかを発令するときに使う言葉で、ここでいうなら『発行』じゃないかと…
もしそうだとしても何を発行するのでしょうか？(;^_^A
更にこの注意事項、最後の句読点が2つあります。(笑)

細かいことですが、2つ目の注意事項も『正確な情報は必ず記入してください』もここの『情報は』は
『情報を』が正解ですよね？…日本語って難しいね(笑)

更には3つ目の注意事項。
余計なところに『(』が入れられています。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『[spam] 【大切なお知らせ】利用中のETC会員再設定手続きのご確認』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”ＥＴＣ利用照会サービス” <news-store@etc-meisai.co.jp>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

ん～っ、惜しい^^;
ETC利用照会サービスさんのドメインは”etc-meisai.co.jp”じゃなくて”etc-meisai.jp”
いくらなんでも自社のメールアドレスを間違ったりしませんよね？(笑)

実在しないドメインからのメールだった

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『from mail5.humantalking.com (unknown [104.148.17.24])』

ありゃま、”mail5.humantalking.com”なんてECT利用照会サービスさんとは全く関係の無い
ドメインが現れちゃいました。^^;

ご覧の通りメールアドレスがETC利用照会サービスのものではないのでこの差出人は、
メールアドレスを偽装しています。
これは特定電子メール法違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

差出人のメールアドレスにあった”etc-meisai.co.jp”がどのような状態にあるのかを
『お名前.com』さんで調べてみます。

ほらね、まだ誰も取得していない空き状態です。
よくも空きドメインを堂々と使ってきますね…

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは、『LayerHost』と言うロサンゼルスにあるプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのも『ロサンゼルス』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

危険なサイトとしてリストアップ済み

では引き続き本文。

平素よりETCのサービスをご利用いただき、誠にありがとうございます。

長期間使用されていないため、客様のETC会員初期化されています。下记URLよりETC会員個人情報の再设定が可能です。
【ログイン】
https://www.etc-meisai.jp/etc/R?funccode=81218515138
＊変更後、3日以内に発効する必要があり、期間中は使用できません。＊カードの個人情報によっては電話で連絡する場合もございます。。
＊正確な情報は必ず記入してください。
＊ご不便とご心配をおかけしまして誠に申し訳ございませんが、何とぞご理解賜りたくお願い申しあ（げます。

メールをそのまま貼り付けているので、文字化け等はご容赦ください。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に直書きされていますが、これまたウソでリンク偽装されています！
本当のリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは、サブドメインを含め”www.etc.kan605.com”

このドメインにまつわる情報を取得してみます。

アメリカミシガン州で管理されているこのドメインを割当てているIPアドレスは”38.34.185.130”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているホスティングサービスは『Enzu Inc』

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
今度ピンが立てられたのは『シカゴ』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

残念ながらリダイレクト(自動転送)されて”localhost”に接続されました。
この”localhost”とは自分自身を示すもので、あなたが接続しているデバイスのことを表します。
そんなところにウェブサイトなんて無いからこのようなエラーが表示されたのです。
どうやらこの詐欺犯は、リンク先をPCとスマホやタブレットでリダイレクトによって切り替えているようで
スマホやタブレットだと詐欺サイトに接続されPCだとこのように”localhost”に接続されるように
設定しているようです。
わざわざ危険を冒してまでスマホで接続確認は行いませんけどね！