『詐欺メール』『【大切なお知らせ】利用中のETC会員再設定手続きのご確認』と、来た件

★フィッシング詐欺解体新書★

『ごんべん』おかしくない？

相変わらず続く『ETC利用照会サービス』さんを騙る詐欺メール。
今日もこのようなメールが私の元に届いております。

我慢できずに落書きしちゃいましたが、どうやらこの作者は中国の方のようで、一部ごんべんの
フォントが崩れてしまっています。

読んでみると、長期間サービス利用が無いのでアカウントが初期化されてしまったと書かれていて
リンクにログインして個人情報の再設定を行うように促しています。

気になりますね『客様のETC会員初期化されています』って部分。
普通なら『客様のETC会員は初期化されています』でしょ？勝手に略しちゃいけません！

リンクのURLの下には箇条書きで注意事項が書いてありますね。
1つ目の注意事項には『変更後、3日以内に発効する必要があり』とありますが、発効って言葉
引っかかります。
発効って法律とかを発令するときに使う言葉で、ここでいうなら『発行』じゃないかと…
もしそうだとしても何を発行するのでしょうか？(;^_^A
更にこの注意事項、最後の句読点が2つあります。(笑)

細かいことですが、2つ目の注意事項も『正確な情報は必ず記入してください』もここの『情報は』は
『情報を』が正解ですよね？…日本語って難しいね(笑)

更には3つ目の注意事項。
余計なところに『(』が入れられています。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『[spam] 【大切なお知らせ】利用中のETC会員再設定手続きのご確認』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”ＥＴＣ利用照会サービス” <news-store@etc-meisai.co.jp>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

ん～っ、惜しい^^;
ETC利用照会サービスさんのドメインは”etc-meisai.co.jp”じゃなくて”etc-meisai.jp”
いくらなんでも自社のメールアドレスを間違ったりしませんよね？(笑)

実在しないドメインからのメールだった

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

ありゃま、”mail5.humantalking.com”なんてECT利用照会サービスさんとは全く関係の無い
ドメインが現れちゃいました。^^;

ご覧の通りメールアドレスがETC利用照会サービスのものではないのでこの差出人は、
メールアドレスを偽装しています。
これは特定電子メール法違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

差出人のメールアドレスにあった”etc-meisai.co.jp”がどのような状態にあるのかを
『お名前.com』さんで調べてみます。

ほらね、まだ誰も取得していない空き状態です。
よくも空きドメインを堂々と使ってきますね…

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは、『LayerHost』と言うロサンゼルスにあるプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのも『ロサンゼルス』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

危険なサイトとしてリストアップ済み

では引き続き本文。

メールをそのまま貼り付けているので、文字化け等はご容赦ください。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に直書きされていますが、これまたウソでリンク偽装されています！
本当のリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは、サブドメインを含め”www.etc.kan605.com”

このドメインにまつわる情報を取得してみます。

アメリカミシガン州で管理されているこのドメインを割当てているIPアドレスは”38.34.185.130”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているホスティングサービスは『Enzu Inc』

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
今度ピンが立てられたのは『シカゴ』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

残念ながらリダイレクト(自動転送)されて”localhost”に接続されました。
この”localhost”とは自分自身を示すもので、あなたが接続しているデバイスのことを表します。
そんなところにウェブサイトなんて無いからこのようなエラーが表示されたのです。
どうやらこの詐欺犯は、リンク先をPCとスマホやタブレットでリダイレクトによって切り替えているようで
スマホやタブレットだと詐欺サイトに接続されPCだとこのように”localhost”に接続されるように
設定しているようです。
わざわざ危険を冒してまでスマホで接続確認は行いませんけどね！

おまけコーナー

これ、HTMLで書かれていたこのメールをTEXT表示に切り替えてみたところです。

最初のタグ類は良いとして、赤枠で囲った範囲にある行は、HTMLでは見られなかった部分。
全く本文とは関連性の無い言葉が書かれていますが、これは何を意味するのでしょうか？
もしかして『ワードサラダ』かも？
ワードサラダに付いて詳し知りたい方はこちらの特集ページをご覧ください。

『詐欺メールに付き物』「ワードサラダ」とは？

ワードサラダは悪意のある証拠 ワードサラダは、フィッシング詐欺メールでよく使われる手法です。 上のメールを見てください。 これはメールの本文をHTML形式からTEXT形式に表示を切り替えたもの。 イエローでマーキング文字列は、HTML形式の...

ymg.nagoya

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;