『トラストウォレット』なるところから丑三つ時に… 『トラストウォレット』って何でしょう?
ウォレットってくらいだから仮想通貨の類なのではないかと思うのですが、今朝早くこのようなメールが
私のところに届きました。
 私、そのようなウォレットのユーザーでもないしどうしてこのようなメールが届いたのでしょう?
おかしいなと思って検索しここにたどり着いた方も、何のことだかさっぱり分かりませんよね?
まだログイン手続きをしていないならご安心ください!
このメールは俗にいうフィッシング詐欺メールと呼ばれる悪意のある輩が作ったもの。
ログインしてしまうと、何らかの形であなたの資金が盗み取られてしまいます! このメール、何が書いてあるのかと思って読み始めてみましたが、難しいカタカナ言葉が多くて
全然頭に入ってきませんね…(;^_^A
このようなメール、内容を理解してログインボタンを押してしまう方いらっしゃるのでしょうかね。(^^;) この『トラストウォレット』は実在するウォレットで、ビットコインやイーサリアムなどの
さまざまな仮想通貨をまとめて管理できるウェブウォレットだそうです。
そう言われてもまだピンとこないのは私だけでしょうか?(;^_^A では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は『[spam] 【重要なお知らせ】トラストウォレット(Trust Wallet)ご利用確認のお願い』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は
『”Trust Wallet” <kyc@trustwallet.com>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 調べると”trustwallet.com”は『トラストウォレット』の公式ドメインで、このメールは
本物のようにも見えますが、この差出人の名前とメールアドレスは、誰でも簡単に偽装可能!
騙されてはいけませんよ!!
中国四川省のサーバーを利用 では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 | Received:『from tc.com (unknown [125.70.73.145])』 | ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーのもので
すなわち差出人が使った送信サーバーの自局情報です。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
でもこの数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。 このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。 ※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する では、メールアドレスにあったドメイン”trustwallet.com”が差出人本人のものなのかどうかを
調べてみます。
 これがドメイン”trustwallet.com”の登録情報です。
これによると”172.67.18.31”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIP”125.70.73.145”と同じ数字の羅列になるはずですが、それが全く異なるので
このメールのドメインは”trustwallet.com”ではありません。
これでアドレスの偽装は確定です! ”Received”に記載されているIPアドレス”125.70.73.145”は、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。
 地図に立てられたピンの位置は、中国四川省成都市付近。
そして送信に利用されたのは、最大のネットワークを誇る『Chinanet』と言うプロバイダーです。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
詐欺サイトを覘いてみると… では引き続き本文。 資産を保護し、エクスペリ
エンスを向上させましょう! 私たちは、ポートフォリオを使用して資金を確認するという、資金を保護するための重要なステップを踏むことを思い出していただくために連絡しています。
プロセス全体は非常に推奨されており、わずか数分で完了し、その効果は計り知れません。 ここで数分かけてこれらの手順を完了することを強くお勧めします。 自分の資産が保護されているという安心感は、何にも代えがたいものです。 ログイン | あはは、相変わらず全く頭に入ってきません… このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『ログイン』って書かれたところに付けられていて
リンク先の『Nortonセーフウェブレポート』での判定はこのようにレポートされていました。
 既にしっかりブラックリストに登録済みですね。
このURLで使われているドメインは、サブドメインを含め”trustcracked.com”と本物の”trustwallet.com”
とよく似ていますが、それとは異なるものが使われています。
ではこのドメインにまつわる情報を取得してみます。
 このドメインを割当てているIPアドレスは”103.140.127.51”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。
 地図に立てられたピンの位置は、またしても中国で広東省中山市付近です。
利用されているホスティングサービスは、香港に拠点を置く『Cloudie Limited』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。 どこからもブロックされることなく無防備に放置されていたのはこのページ。
 何だかさっぱり意味の分からないページですね。
どのみち詐欺サイトなので先に進むのはやめておきます。
まとめ 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 