だから私は中部電力管轄地域だって
部電力管轄地域内在住の私に、何の用があって東京電力からメールが来るのでしょうか?
それもその内容は、電気料金の未払いだとか…
冒頭の『尊敬なるお客様へ』って、えらくへりくだった海外のメールっぽい始まり方ですが
東電さん今時こんな書き出しのメールを送ってるのでしょうか?
賢明の方はもうお分かりですよね?
私に来るはずのないこのメールは、間違いなく悪意を持ったフィッシング詐欺メールです。
支払いがオンラインのみってもいかにもそれらしいですよね?!
それにしてもこのかわいいキャラクター『テプコン』も著作権で守られているはずなので
このキャラクターを使ってメールを送ること自体違法です!
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。
件名は
『[spam] お支払い案内: 未払いの電気料金に関するご注意』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
差出人は
『"tepco.co.jp" <tepco.co.jp@azeek.shop>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
東京電力の公式なドメインは確かに”tepco.co.jp”ですが、これはドメインなのでメールアドレスの
@の右側にあるはずですが、このメールアドレスの場合左側にあり、右側はそれとは全く異なる
”azeek.shop”なんてドメインが付いているのでこのメールは東京電力の関係者からではありません。
差出人はお名前ドットコムの『メールマーケティング』ユーザー
では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。
| Received:『from mm3-relay1c068.maildeliver.jp (mm3-mta-c217.maildeliver.jp [118.27.54.217])』 |
おや?ここにはまた新たに”mm3-mta-c217.maildeliver.jp”なんてドメインが記載されていますね。
恐らくこれがこの差出人の本当のドメインだと思われます。
ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーのもので
すなわち差出人が使った送信サーバーの自局情報です。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
でもこの数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する
では、メールアドレスにあったドメイン”azeek.shop”が差出人本人のものなのかどうかを調べてみます。
これがドメイン”azeek.shop”を割当てているIPアドレスの情報です。
これによると”91.195.240.123”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIP”118.27.54.217”と同じ数字の羅列になるはずですが、それが全く異なるので
このメールのドメインは”azeek.shop”ではありません。
これでアドレスの偽装は確定です!
”Received”に記載されているIPアドレス”118.27.54.217”は、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。
地図に立てられたピンの位置は、日本最大の電脳街『内神田』付近。
そしてやはりこの差出人が利用するメールアドレスの本当のドメインは”mm3-mta-c217.maildeliver.jp”で
間違いありません!
更に送信に利用されたプロバイダーは国内大手の『GMO』です。
このメールは、この付近に設置されたGMO系列のメールサーバーを介して私に届けられたようです。
この”maildeliver.jp”ってドメインは、調べてみると『お名前ドットコム』さんが運営する
『メールマーケティング』と言うメール配信サービスのようです。
ってことは、この差出人はこのサービスのユーザーですね!
電話番号だけで本人確認?!
では引き続き本文。
| 尊敬なるお客様へ、
平素より格別のお引き立てを賜り、誠にありがとうございます。東京電力株式会社でございます。
未払いの電気料金に関しまして、重要なお知らせがございます。お手数をおかけいたしますが、以下の内容をご一読いただき、お早めにお支払い賜りますようお願い申し上げます。
お支払い期限: 2023年12月25日
当社においてお支払いの確認が取れておりません。ご迅速なご対応をお願いいたします。
お支払い方法:
オンラインでのお支払い: 以下のボタンをクリックし、オンラインでお手続きください。
お支払いページへ
お支払い前に、添付の請求書をご確認いただき、金額の正確性をご確認ください。
既にお支払いいただいた場合は、このお知らせを無視していただいて結構です。ご不明な点やご質問がございましたら、お気軽にお問い合わせください。お客様サポートチームがお手伝いいたします。
ご協力とご理解に厚くお礼申し上げます。早期のお支払いをお待ちしております |
『お早めに』だとか『迅速に』だとか『早期に』だとか、えらく煽ってきますね…(^^;)
このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『お支払いページへ』って書かれたところに付けられていて
リンク先の『Nortonセーフウェブレポート』での判定はこのようにレポートされていました。
『危険』ではなく『注意』との評価ですが、もしかしてまだ新しいサイトなのでしょうか?
このURLで使われているドメインは、サブドメインを含め”tokyo-tepcos.xyz”
このドメインにまつわる情報を取得してみます。
Registrant Countryに『GB』、そしてRegistrant State/ProvinceにSCHOTTLANDと書いてあるので
このドメインはイギリスのスコットランドの方が取得されているようです。
このドメインを割当てているIPアドレスは”155.94.151.67”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。
地図に立てられたピンの位置は、アメリカのロサンゼルス近郊。
そして利用されているホスティングサービスは、アメリカに拠点を置く『QuadraNet Enterprises LLC』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。
『Nortonセーフウェブレポート』での判定からすると、リンク先の詐欺サイトは、どこからもブロック
されることなく無防備な状態で放置されていると思われます。
そんなサイトに、調査を目的で安全な方法を利用して訪れてみることにします。
おっと、早速電話番号を聞いてきましたよ。
適当に入力して先に進んでみます。
すると今度は、電気料金の明細が表示されました。
どうやら3日間支払いが滞っているようです。
72時間を超えると電気が切られちゃうって…(;^_^A
『次へ』ボタンを押し更に先に進むと…
詐欺犯の最大の目的画面が表示されましたね!
それにしても電話番号の入力しかしていませんが、そんなで良いのでしょうか?(^^;)
ここにカード情報を入力し支払いボタンを押してしまうと、その情報は詐欺師に流れ餌食になってしまうので
ご注意ください!
まとめ
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |
