『詐欺メール』『エポスカードからの緊急のご連絡。』と、来た件

★フィッシング詐欺解体新書★

例の奴らの犯行

昨夜から今朝にかけての50通余りの詐欺メールの中で、相変わらずダントツに多く届いているのが
『【Amazon】お支払い情報の再確認が必要です』と『【重要なお知らせ】Amazonアカウント情報の更新』
その特徴からどちらも同じ犯人からのお届け物です。

仕事中にクライアントからのメールに交じって送られて来るためとてもウザくいい加減にしてほしいです。

そんな中、今回ご紹介するのはこちらのメール。

特徴から推測するにこのメールもどうやら同じ奴らの犯行です。
書いてあるのは、例によって第三者の不正利用の疑いをネタにリンクに誘い込み、利用確認と称し
エポスカード会員のIDやパスワードはおろか個人情報やそのカード情報まで詐取しようとする詐欺です。
これらの特徴は、差出人のメールアドレスのアカウント部分に受信者のメールアカウント名が
しれっと埋め込まれていること。
このメールも、送信者メールアドレスのアカウント部分にちゃっかり私のアカウント名が埋め込まれています。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『[spam] エポスカードからの緊急のご連絡。』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。

『緊急』や『重要』などの言葉を使い不安を掻き立てて焦る受信者の心理を突く悪質なメールです。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”エポスカード” <epos-*****@epos.co.jp>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

『*****』部分には、先に書いた通り私のアカウント名が埋め込まれています。
なのでいくらエポスカードを名乗ろうか、このメールアドレスはウソであることが分かります。
更にはここで使われている”epos.co.jp”と言うドメイン、エポスカードさんの公式ドメインの
ようにも見えますが、実はこれ実在しないドメイン。
その辺りも合わせて次の項で詳しく見ていくことにします。

『お名前ドットコム』さんで調べた結果

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、差出人のメールアドレスに使われていたドメイン。
先程実在しないものと書きましたが、それを証明していきます。

国内最大級のドメイン取得サービスの『お名前ドットコム』さんでこのドメインを検索してみます。
すると…

ほらね！
『ご希望のドメインが空いています』って出ましたからこのドメインはまだ誰にも取得されていない
ピュアなドメイン。
なのでこのドメインを使ってメールの送信なんて不可能です！

次にこのメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

これによると、この差出人の宝刀のドメインは”hh123_3.localdomain”であることが分かります。

ここまでの調査でこの差出人はメールアドレスを詐称しているので特定電子メール法違反となり
処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字”103.98.214.175”は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは、『Kamatera, Inc.』と言うプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、『シカゴ』付近です。
今回このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

読み難い本文

では引き続き本文。

今回は、メリハリの無い読み難い本文ですね。(;^_^A

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『アカウントのご利用確認のお知らせについてはこちら』って書かれたところに
付けられていて、そのリンク先のNortonセーフウェブレポート』での判定はこのように
レポートされていました。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは、サブドメインを含め”epos-co.com”
このドメインにまつわる情報を取得してみます。

このドメインはアメリカアリゾナ州の『PrivacyGuardian』が所持しています。
ここは、匿名でドメイン取得代行を行うことで知られ、それ故にここで取得したドメインが
サイバー犯罪によく使われます。
こういう業者がいること自体が良くないと思うのですが…

そしてこのドメインを割当てているIPアドレスは”172.67.184.13”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

表示されたのは例によって悪の巣窟のカナダの『トロント市庁舎』付近。
ほんとどれだけこの辺りに詐欺サイトが設置されているのか…(-_-;)

利用されているホスティングサービスは『Cloudflare』でした。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみましたが
リダイレクト(自動転送)されて結局開いたのがエポスカードの公式サイトでした。
最初からこうするつもりだったのか、それとも元々は詐欺サイトへのリンクだったものが何らかの理由で
途中からリダイレクトを施し公式サイトへリンクを切り替えたのかは今となっては知る由もありません。

まとめ

この送信者のメールアドレスのアカウントに受信者のアカウントを埋め込むパターンは、私のところに
現在届く詐欺メールの大半を占めております。
このように簡単に見破ることのできるメールは、恐らくは愉快犯による迷惑メールに分類されるものだと
思いますのでそれほど恐れることはありません。
にしても詐欺サイトは存在するので注意は怠らないようにしてください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;