『詐欺メール』『大切なお知らせ: 電気料金のお支払い期限が迫っています』と、来た件

★フィッシング詐欺解体新書★

どうして私に東京電力から…

主に関東9県に電力を供給する東京電力。
そんな東京電力から、愛知県に住む私に未払い請求のメールが届きました。

『お客様へ』と書かれた宛名が示す通り、この差出人は私の氏名をご存じないようです。
当然電力会社なら氏名を知っているはずなのにね。(笑)
そりゃそうです、このメールは東京電力の名を騙る詐欺メールですから！
ツラツラと先を読んでいくと、請求書が添付されている旨が書かれていますが、どこをどう探しても
添付は見つかりませんし。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『[spam] 大切なお知らせ: 電気料金のお支払い期限が迫っています』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”tepco.co.jp” <tepco.co.jp@poweiren.top>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

アカウント名に”tepco.co.jp”と書いてありますが、これは東京電力の公式ドメインでアカウント名では
ありません。
この差出人アドレスのドメイン部分はあくまで”poweiren.top”であり東京電力のものではありません。

”poweiren.top”はウソ！

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーのもので
すなわち差出人が使った送信サーバーの自局情報です。
今度は”mm3-relay1a015.maildeliver.jp”なんてドメインが出てきましたよ！
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
でもこの数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。

このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”poweiren.top”が差出人本人のものなのかどうかを
調べてみます。

これがドメイン”poweiren.top”を割当てているIPアドレス情報です。
これによると”91.195.240.123”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIPと同じ数字の羅列になるはずですが、それが全く異なるので
このメールのドメインは”poweiren.top”ではありません。
これでアドレスの偽装は確定です！

”Received”のIPアドレスと全く同じ数字なのでこのメールアドレスはご本人さんのもので
間違いなさそうです。

”Received”に記載されているIPアドレス”118.27.82.125”は、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは、東京都渋谷区に拠点を置く『GMO Internet, Inc』と言うプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、『JR神田駅』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

ハドソン川河口のステタン島で詐欺サイトを運営

では引き続き本文。

『ご不明な点やご質問がある場合は、お気軽にお問い合わせください』と書いてある割には
連絡先はどこにも書かれていまあせんね…(;^_^A

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『お支払いページへ』って書かれたところに付けられていて
リンク先の『Nortonセーフウェブレポート』での判定はこのようにレポートされていました。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは”tepco-jp.cyou”と東京電力のものとよく似ています。
このドメインにまつわる情報を取得してみます。

イギリスのスコットランドの方が管理されているこのドメインを割当てているIPアドレスは”198.98.58.52”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

アメリカニューヨーク州ハドソン川河口に浮かぶステタン島の地図が表示されました。
利用されているホスティングサービスは『FranTech Solutions』で、中程度の詐欺リスクがある ISP と
みなされています。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

当然クレカ払い一択

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。
どこからもブロックされず放置されていたのはこのページです。

電話番号を入力すると書かれた本物そっくりのログインページですが、本物は電話番号ではなく
メールアドレスとパスワードを使ってログインするようで、このようにLINEやYahoo、Googleアカウントでも
ログインできるようです。

適当に電話番号を入力して先に進んでみます。

すると料金明細が表示されました。
『次へ』と書かれたボタンを押すとクレジットカードの入力画面が表示されました。
どうやらクレカ払い一択で、振り込みやコンビニ払いは選べないようです。
そりゃそうですよね、目的は詐欺ですからね！
ここを全て埋めて『料金支払い』ボタンを押すことで詐欺が成立してしまいますので要注意です。

まとめ

私は幸い東海地方のため中部電力管轄なのでどう間違っても騙されませんが、関東9県にお住まいの方は
十分ご注意ください。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;