今度はアメリカンエキスプレスを騙る 先回に引き続き『saison.txt』と言うテキストファイルが添付されたメールの解説となります。
先回はAmazonを騙ったものでしたがご興味があればこちらをご覧ください。 『詐欺メール』Amazonから『【重要なお知らせ】』と、来た件
これは今朝届いた添付ファイルの付いた4通の詐欺メールのうちのその1通。
 今回のメールはそのうちの『アメリカンエキスプレス』を騙った詐欺メールのご紹介となります。
 このメールにも『saison.txt』と言うテキストファイルが添付されています。
危険を承知で万全のセキュリティのもと開けてみるとこのように書かれています。
(クリックで拡大します) またしてもHTML書かれたウェブページです。
見難いので拡張子を.txtから.htmlに変えてブラウザで開いてみます。
 どうしてメールの本文に直接書かずこのようなめんどくさい添付ファイルにしているのかさっぱり
分かりません…(;^_^A このメールも本文に何やら英文が書かれていますね。
『Deep news draw full.Detail speak and.Guess owner game available describe.』 これもまた翻訳してみます。
『深いニュースが満載です。詳細を話してください。オーナーを推測するゲームが説明されています。』
と全くメールには関係の無い全く意味不明な文章です。 では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は『[spam] 二段階認証の導入についてのお知らせ』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は
『 “American Express” <4bd236400@e2adc699d.jp>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 またしても意味不明な暗号のようなメールアドレスですね。
恐らくこれも実在しないメールアドレスかと思われますが、その辺りは次項で確認することにします。
やっぱり空きドメイン では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 | Received:『from iarfg.com (unknown [43.128.145.109])』 | ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーのもので
すなわち差出人が使った送信サーバーの自局情報です。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
でもこの数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。 このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。 ※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する では、メールアドレスにあったドメイン”e2adc699d.jp”が差出人本人のものなのかどうかを
調べてみます。
ってか、その前にこのドメインの存在に付いて『お名前ドットコム』さんで確認してみることに。
するとこのような結果が!
 これによると、このドメインは現在空きドメインで誰にも使われていないものであることが判明!
空きドメインは当然メールなんて受送信できないので差出人はメールアドレスを偽っています。 ”Received”に記載されているIPアドレスは、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。
 地図に立てられたピンの位置は、韓国の首都『ソウル』
そして送信に利用されたのは、『Shenzhen Tencent Computer Systems Company Limited』と言う
中国深センに拠点を置くプロバイダーです。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
本物そっくりの詐欺サイト では引き続き本文。 | American Expressカードをご利用のお客さま利用いただき、ありがとうございます。 このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、 カードのご利用を一部制限させていただき、ご連絡させていただきました。 つきましては、以下ヘアクセスの上、カードのご利用確認にご協力をお願い致します。 お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。 何卒ご理解いただきたくお願い申しあげます。 ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい。 ご利用確認はこちら ================================
*お手もとにAmerican Expressカードをご用意ください丶画面に表示される指示に従い、必要な手続きを完了してください。 *お持ちのカードによっては、サービスを利用できない場合があります。 *ご注意ください* 変更のお手続きがない場合、弊社からの重要なお知らせが届かない場合があります。 おしらせメールについて American Expressのおしらせメール配信を「希望する」に設定すると、
各種サービスやキャンペーンなど、おトクな情報をお届けいたします。
======================================== アメリカン·エキスプレス·ジャパン株式会社 東京都港区虎ノ門4—1—1*本メールは送信専用です。 お問い合わせは上のURLの、専用フォームよりお願いします。 本メールに掲載されているすべての記事、文章等の無断転載を禁止します。 | このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『ご利用確認はこちら』って書かれたところに付けられていて、
そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。
 既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。 このURLで使われているドメインは、サブドメインを含め”zmkigr.xyz”
このドメインにまつわる情報を取得してみます。
 
これは1つ前にご紹介したAmazonを騙ったものと全く同じ『アルバニア』の人物が所持しているものと
分かりました。 このドメインを割当てているIPアドレスは”43.133.22.39”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。
 地図に立てられたピンの位置は『杉並区立和泉二丁目公園』付近。
利用されているホスティングサービスは、メールサーバーと同じ『Shenzhen Tencent Computer Systems Company Limited』
これらも1つ前にご紹介したAmazonを騙ったものと全く同じです。 危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。
 本物そっくりのログインページが開きました。
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。
まとめ 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 