『詐欺メール』新『【マイナポイント第2弾】2万円ポイントの有効期限のお知らせ』と、来た件

★フィッシング詐欺解体新書★

キャンペーン期限が9月末日

各メディアでも話題になっているマイナポイント第2弾をネタにした便乗型詐欺メール。
この通り以前にもうちのサイトで何度かご紹介してあります。

『詐欺メール』「【マイナポイント第2弾】2万円ポイントの有効期限のお知らせ」と、来た件

『詐欺メール』『期限迫る！マイナポイント第2弾で20,000円分のポイントがもらえる！』と、来た件

このキャンペーン期限が9月末日で残り10日を切っていますし、ちょうど今朝、新たに新しいものが
届いていたので、気を引き締めるつもりでタイトルに『新』を付けてご紹介しておこうと思います。
そのメールがこちらです。

まず真っ先に、どうしてマイナポイント事務局が私のメールアドレスを知っているのかってこと。
皆さんまずそこに気付いてくださいよ！(;^_^A

我慢できずに落書きしてしまいましたが、明らかに『マイナポイント事業』からのものではありません。
まず、差出人のメールアドレス。
マイナンバーポイントを展開しているのは、国の行政機関である総務省。
国の行政機関が使うメールアドレスのドメインは”go.jp”と決められていますが、このメールの差出人
を確認すると”smbc.co.jp”と書かれています。
このドメイン実は『(株)三井住友銀行』さんの公式ドメイン。
まさか三井住友銀行がマイナポイント事業のメール送信代行を請け負ってるなんて考えられないので
このメールアドレスは、間違いなく偽装ということになります！

そして『応募専用サイト』へのリンクとして記載されているURL。
『https://mynumbercard.point.soumu.go.jp』
こちらは逆に”go.jp”と国の行政機関が使う公式なドメインを使っているように見えますが、当然リンク偽装。
後の項で説明しますが、全く違うURLにリンクされるよう仕組まれています。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『[spam] 【マイナポイント第2弾】2万円ポイントの有効期限のお知らせ』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『"マイナポイント" <net789@smbc.co.jp>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

先にも書きましたが、このメールに使われているドメインは『(株)三井住友銀行』さんのもので
マイナポイントキャンペーンを主導する総務省のものではありません。
更に言えば、”net789”なんて意味不明なアカウント名もいかがなものかと…

総務省が香港のメールサーバーをね…

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

ここに書かれている”cufpahisr”って何のことでしょうか？さっぱり意味不明です…

この差出人は自身のメールアドレスを偽装しているので特定電子メール法違反となり
処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

やるまでありませんが、一応儀式なのでメールアドレスにあったドメイン"smbc.co.jp“が総務省のもの
なのかどうかを調べてみます。

しっかり『株式会社 三井住友銀行』と書かれていますよね！(笑)

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字”182.16.55.146”は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に危送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは、『Simcentric』と言うプロバイダーで、どうやらこのプロバイダーはスリランカに
存在するようです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。
代表地点としてピンが立てられたのは、香港の『深水ホ(Sham Shui Po)』地区付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

サイトはAmazonのクラウド上で運営

では引き続き本文。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に”go.jp”と記にの行政機関に与えられたドメインを使ったものが直書きされて
いますが、これは明らかな偽装。
実際のリンク先のURLと『Nortonセーフウェブレポート』での判定はこのようにレポートされていました。

ん～っ、あまり危険視されていないようですが何故なのでしょうか？…

このURLで使われているドメインは、サブドメインを含め”mynumbercard.point.soumu.go.jp.o2overse.com”

このドメインにまつわる情報を取得してみます。

中国のIT企業であるアリババが管理しているこのドメインを割当てているIPアドレスは”3.64.163.50”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

IPアドレス一つで色々なことが分かるものです。
こちらでは既に危険なIPアドレスとしてリストアップされているようで、サイバーアタックの攻撃元として
登録済みです！
そして利用されているホスティングサービスは『Amazon Technologies』とAmazonのクラウドサービス。

今度ピンが立てられたのは、ドイツの『フランクフルト・アム・マイン』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

『Nortonセーフウェブレポート』での危険度評価からすると、リンク先の詐欺サイトは、どこからも
ブロックされることなく無防備な状態で放置されていると思われます。
そんなサイトに、調査を目的で安全な方法を利用して訪れてみることにします。

『Forbidden』と言うエラーページが表示されました。
これは『403Forbidden』エラーでHTTPステータスコードのひとつ。
閲覧禁止を示すメッセージで、ページは存在するもののサーバー管理者が意図的に接続できないよう
処理を施したことを表しています。
ということは、Amazonクラウドがこのサイトの危険性を確認し接続できないよう処置を講じたのでしょう。
それで『Nortonセーフウェブレポート』での危険度評価が低かったのですね！

まとめ

マイナポイント第2弾の締め切りまで残り10日を切りました。
これ以上被害が出ないことを祈りつつ今回のエントリーを締めておこうと思います。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;