イオンカードなのにどうして『eオリコ』なの? なんだか『イオンクレジットサービス』を名乗るおかおかしなメールが届きましたよ!
 『当』から始まる意味不明なメール、セキュリティ上の理由から、初めてアカウントの使用を制限
したらしいです。(笑)
イオンクレジットサービスからなのでイオンカードのアカウントなのかなと思ったら、唐突に『eオリコ』
って、イオンじゃないんだ(笑)
更にこの『イオンクレジットサービス』って会社、もう現在は存在しない企業。
ウィキによると2023年6月1日に完全親会社のイオンフィナンシャルサービスに吸収合併され、解散した。
と記載されていました。(笑)
もう無茶苦茶なメールですよね? ってことでこのメールはイオンアカウント盗み出そうとする詐欺メールです。
ではまずはプロパティーから見ていきましょう。 件名は『[spam] <緊急通知>𝖺𝖾𝗈𝗇𝖼𝗋𝖾𝖽𝗂𝗍 お客様情報の確認』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
詐欺メールにはよくありがちな件名ですよね? 差出人は
『”イオンクレジットサービス株式会社” <support@oziqjlt.cn>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 いつも書きますが、イオンカードの公式ドメインは”aeon.co.jp”で”oziqjlt.cn”なんて中国の
ドメインではありません。
故にこの差出人はイオンカードの関係者ではありません!
中国上海のサーバーを経由 では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 | Received:『from mail.oziqjlt.cn (unknown [106.75.134.144])』 | ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーのもので
すなわち差出人が使った送信サーバーの自局情報です。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
でもこの数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。 このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。 ※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する では、メールアドレスにあったドメイン”oziqjlt.cnが差出人本人のものなのかどうかを
調べてみます。
 これがドメイン”oziqjlt.cn”の登録情報です。
申請者は、詐欺メールの調査では頻繁に見掛ける中国の方。
これによると”106.75.134.144”がこのドメインを割当てているIPアドレス。 このメールはイオンカードからではないものの”Received”のIPアドレスと全く同じ数字なので
このメールアドレスは差出人ご本人さんのもので間違いなさそうです。 ”Received”に記載されているIPアドレス”106.75.134.144”は、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。
 地図に立てられたピンの位置は、中国の上海市付近。
そして送信に利用されたのも中国に拠点を置く『Ucloud』と言うプロバイダーです。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
最近ありがちな『トロント市庁舎』付近 では引き続き本文。 | 本メールは重要なお知らせのため、メール配信を希望されていない方にもお送りしております。 当お客様のアカウントが許可されていない第三者によって悪用されていることを検出しました セキュリティ上の理由から、初めてアカウントの使用を制限しました。このメールを受信してから24時間以内
に、以下のリンクをクリックして、個人アカウントの対応する情報をできるだけ早く確認してください。ご理解の
ほどよろしくお願いいたします。
https://www.aeon.co.jp/app/ 当社では、オンラインショッビングを安心してご利用いただくため、本人認証サービスを導入しておりま
す。本人認証サービスでは、お客さまのご利用状況に応じて「バスワード」を入力することで本人認証を
行い、第三者の「なりすまし」による不正利用を防ぎます。 「バスワード」として、「ワンタイムバスワード」または「eオリコのログインバスワード」のどちらかをご入力
いただきますが、当社ではよりセキュリティ性の高い「ワンタイムバスワード」のご利用を推奖しております。 | このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクはイオンカードの公式ドメイン”aeon.co.jp”を利用したものが記載されていますが
こんなのに騙されてはいけません!
しっかり偽装されていますから要注意です!
本当のリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。
 既にフィッシングサイトとしてしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。 このURLで使われているドメインは、サブドメインを含め”no-reply-aern-ne-jp.ryutjdec.com”
もうイオンカードの欠片もありません。(笑)
このドメインにまつわる情報を取得してみます。
 このドメインはアメリカの『WhoisSecure』社に委託して取得したようですね。
割当てているIPアドレスは”172.67.157.15”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。
 地図に立てられたピンの位置は、最近ありがちなカナダの『トロント市庁舎』付近。
そして利用されているホスティングサービスは『Cloudflare』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。
 本物そっくりのログインページが開きました。
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。
まとめ 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 