『詐欺メール』『【NHKサポートセンター】NHKより重要なお知らせ』と、来た件【その2】

★フィッシング詐欺解体新書★

NHKがケニアの国別ドメインで私にメールを？！

相変わらず『Amazonから情報を確認をお願いします』と言うタイトルのクソメールが大量に
送り付けられている毎日が続いておりますがいかがお過ごしでしょうか。(;^_^A
さて、そんな大量のメールに交じりNHKを騙る詐欺メールが2通

どちらにも見出しに[spam]が付けられているので悪意のあるメールとサーバーで判断されたもの。
片方の差出人には(NHK)と付けられていますがもう一方には無く、通知書番号なる数字が桁数から
異なっています。
以前にもこのように同じようなメールをご紹介しています。

『詐欺メール』「【NHKサポートセンター】NHKより重要なお知らせ」と、来た件【その1】

NHKに成りすます詐欺メール第二弾！ ※ご注意ください！ このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし 悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。 このようなメールを受け取っても絶対...

ymg.nagoya

でも1年以上も前のものなのと、今回のメールの内容が当時と異なるので改めて【その2】【その3】として
これらのメールを2回に渡ってご紹介することにいたします。

では、通知書番号が『0426』のメールの方から進めていくことにします。

これがそのメールの無いようです。

色々書きこんでしまいましたが、まず第一に「NHKサポートセンター」という部署名は無いようです。
『NHKからこのような注意喚起』が発表されていますのでご一読ください。

このメール、宛名として書かれている”jn@vhp.biz”ってダレ？(笑)
もちろん私のメールアドレスではありませんし、メールアドレスを宛名にすること自体怪しいメールです。

それに、件名にある通知書番号”0426”と本文署名欄にある通知書番号”1207077”って桁数からして
全然違いませんか？(;’∀’)

更に言えば、このお問合せ先に書かれている『日本放送協会　放送局営業推進部』と
そのナビダイヤル『050－3465－1668』をググってみたら、そんな部署や電話番号は存在しないようで
逆に『こんな情報』が出てきちゃいました。(笑)

まずはプロパティーから見ていきましょう。

件名は『[spam] 【NHKサポートセンター】NHKより重要なお知らせ 通知書番号：0426』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
もちろんこの通知書番号は適当に付けられたものだと思いますが、どう考えたって4桁じゃ
足らない気もしますが…(;^_^A
見出しにある”[spam]”はスパムスタンプと呼ばれるサーバーからの注意喚起で
これが付いているものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”日本放送協会” <qh@expresstravel.co.ke>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

ここ重要なポイントなのでしっかり頭に焼き付けてくださいよ！
@より後ろはドメインと呼ばれる部分で、『インターネット上の住所』となる部分。
実際はIPアドレスと呼ばれる電話番号のように”111.222.333.444”のように4つのセグメントに分かれた
数字の集まりなのですが、それじゃ煩雑すぎてわかりにくいので、半角英数字に変換して表現します。
このドメインですが、一番最後のセグメントは国や種別を表すもので日本の場合は”.jp”です。
この差出人の場合は”.ke”とあり、どこかなと思い調べると、これはアフリカの『ケニア』を表す国別ドメイン。
何が悲しくて国有メディアのNHKがなんでわざわざケニアの国別ドメインを使ってメールを送るのって話し。
あり得ないでしょ？！

まっ、それ以前にNHKが私のメールアドレス知ってること自体おかしいですよね！

差出人のメールアドレスはウソ！

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

この”Received”に記載のIPアドレスは差出人が利用したメールサーバーに割当てられたもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”expresstravel.co.ke”が差出人本人のものなのかどうかを
調べてみます。

まずはドメイン”expresstravel.co.ke”の情報を拾ってみました。

このドメイン、存在はしているようですが『対応するIPアドレスがありません』ってことなので
現在は、どのIPアドレスにも割り当てられていない使えないドメインのようです。
ということは、差出人のメールアドレスはウソ！これでアドレスの偽装は確定です！

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字”167.40.235.106”は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは、『Shared Services Canada』と言うカナダのプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのもカナダの『オタワ』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

『与信失敗』なんて詐欺メールでしか見たことないわ

では引き続き本文。

『与信失敗』なんて言葉、フィッシング詐欺メールでしか見たことないわ…(笑)

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『お支払い情報の確認/設定はこちら』って書かれたところに付けられていて、
そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での危険度評価がこちらです。

『未評価』と表示されました。
『新たに確認されたドメイン』ってことなので、新しくてまだ評価に至っていない模様です。
早急に評価を変更していただけるように私から変更の申請を行っておきます。

このURLで使われているドメインは、サブドメインを含め”www.plus.nhk-jp-plus-nhk-jp.gvamjw.cfd”

このドメインにまつわる情報を取得してみます。

中国浙江省の方が管理されているこのドメインを割当てているIPアドレスは”155.94.235.32”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているホスティングサービスは『QuadraNet Enterprises LLC』

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
今度ピンが立てられたのは、古くから詐欺サイトが多くある『ロサンゼルス』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

トレンドマイクロの『サイトセーフティーセンター』での危険度評価からすると、リンク先の
詐欺サイトは、どこからもブロックされることなく無防備な状態で放置されていると思われます。
そんなサイトに、調査を目的で安全な方法を利用して訪れてみることにします。

登録手続きと書かれたボタンの付いた説明ページが開きました。
この先は『以前に投降したブログ』にあったリンクと全く同じなので割愛しますが、住所氏名や生年月日と
連絡先などを問い合わされた上、最後にクレジットカードの情報を入力させられます。
それらの情報は全て詐欺師に流れてしまいますので要注意です！

まとめ

まず真っ先に、NHKがあなたのメールアドレスを知っているかどうかを考えてみてください。
そうすればこのような馬鹿げた詐欺に遭うことはありませんよ！

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;