『詐欺メール』『「えきねっと」ご注意下さい 会員情報確認のお知らせ』と、来た件

★フィッシング詐欺解体新書★

『えきねっと』が中国のメールアドレスを使う？！

久しぶりに『えきねっと』やっときますか！(笑)

ユーザーになった記憶の無い『えきねっと』さんから、クレジットカードのお客様情報が間違っていると
いう内容のメールが届きました。
『えきねっと』はJR東日本が運営するネット上から指定券予約などを行うサービスです。
そんな『えきねっと』がなぜJR東海管轄内の私のメールアドレスをご存じなのでしょうか？
不思議ですよね？

読み進めていくと、リンクから情報を更新するように促しており、その先には退会した後でもいつでも
再登録できると書いてあります。
ちょっと待って、退会って話はどこから出てきたのでしょうか？
どうせ『自動退会』をネタにした他の詐欺メールから何の気なしにコピペしたから退会の話が
くっついちゃったんでしょう。(笑)

では、このメールをもう少し詳しく見ていきましょう！
まずはプロパティーから見ていきます。

件名は『[spam] 「えきねっと」ご注意下さい 会員情報確認のお知らせ』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”新幹線・JR特急列車” <juzb@jpdjgew.cn>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

差出人名に『新幹線・JR特急列車』ってのもどうかと思いますが…(;^_^A
それに『えきねっと』さんの公式ドメインは”eki-net.com”で、間違っても”jpdjgew.cn”なんて
中国の国別ドメインを用いたものではありません！

送信サーバーはフランクフルトにあり

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

差出人のメールアドレスが『えきねっと』さんのものではないので、偽物からのメールなのは明らか。
これは特定電子メール法違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”jpdjgew.cn”が差出人本人のものなのかどうかを
調べてみます。

これがドメイン”jpdjgew.cn”の登録情報です。
持ち主のお名前からすると、恐らく中国の方。
これによると”103.13.211.88”がこのドメインを割当てているIPアドレス。
偽物からのメールですが、”Received”のIPアドレスと全く同じ数字なのでこのメールアドレスは
ご本人さんのもので間違いなさそうです。

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字”103.13.211.88”は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に危険性や送信に使われた回線情報とその割り当て地を確認してみます。

このIPアドレスを元に割り出した危険度は『脅威レベル：高』
その詳細は『サイバーアタックの攻撃元』表示とされています。

送信に利用されたのは、『Kamatera Inc』と言う香港のプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、ドイツの『フランクフルト・アム・マイン』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

詐欺サイトはロスのサーバーで稼働中

では引き続き本文。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『ログインはこちら』って書かれたところに付けられていて、
そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは、サブドメインを含め”www.ekii-co-jp.admc.wwdwzvp.cn”と
また市でも中国のドメインが使われています。

このドメインにまつわる情報を取得してみます。

このドメインも持ち主は、メールアドレスのドメインと全く同じ人物。
割当てているIPアドレスは”141.11.192.248”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているホスティングサービスは、オランダの『RoyaleHosting BV』

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
今度ピンが立てられたのは『ロサンゼルス』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

本物そっくりのログインページが開きました。
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。

まとめ

どうやら『えきねっと公式サイト』によると、2023年11月1日より2段階認証を導入するようです。
この2段階認証は、ワンタイムパスワードを登録メールアドレスに送信するようなので
そのメールアドレスの受信できる環境が無いとログインできなくなるので、いくらIDとパスワードを
盗み取られてもメールの受信ができなければ詐欺に遭うことも無くなりそうですね！

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;