詐欺情報をアップデート 今朝『【重要】NHKプラスアップグレードサービスお知らせ』と言う見慣れたタイトルのメールが
届きました。 同じタイトルのメールは今までに2回ほどご紹介しております。 『詐欺メール』新「【重要】NHKプラスアップグレードサービスお知らせ」と、来た件
『詐欺メール』「【重要】NHKプラスアップグレードサービスお知らせ」と、来た件
ただ新しいのでも2023年の6月で、情報もかなり古くなってきているのは否めません。
と言う訳で折角なので今回届いた新しいメールで情報を更新しておこうと思いキーを叩くことに
いたします。 こちらが今回ご紹介するメール。
 なんだかモノクロで味気の無いそれっぽいメールですよね。
ではこのメールも解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は『[spam] 【重要】NHKプラスアップグレードサービスお知らせ』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は
『”日本放送協会(NHKプラス)” <nhk-update@jivaonearth.com>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 NHKのオフィシャルサイトのURLを確認すれば簡単に分かることですが、NHKさんの公式ドメインは
”nhk.or.jp”で”jivaonearth.com”なんてアメリカのドメインではありません。
自社の公式ドメインがあるのにわざわざ他のドメインメールを送るなんておかしいでしょう?
オランダの方が申請したドメインをダラスのメールサーバーで利用 では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 | Received:『from mail1.jivaonearth.com (unknown [107.175.178.89])』 | ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーのもので
すなわち差出人が使った送信サーバーの自局情報です。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
でもこの数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。 では、メールアドレスにあったドメイン”jivaonearth.com”が差出人本人のものなのかどうかを
調べてみます。
 これがドメイン”jivaonearth.com”の登録情報です。
このドメインはオランダの方が申請しているようで、これによると”107.175.178.89”がこのドメインを
割当てているIPアドレス。
もちろんこのメールはNHKからではないものの”Received”のIPアドレスと全く同じ数字なので
このメールアドレスは差出人ご本人さんのもので間違いなさそうです。 ”Received”に記載されているIPアドレスは、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。
 地図に立てられたピンの位置は、アメリカの『ダラス』近郊。
そして送信に利用されたのもダラスにも拠点がある『ColoCrossing』と言うプロバイダーです。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
記載されている連絡先の番号は?! では引き続き本文。 NHKのサービスをご利用いただきありがとうございます、
NHKがNHKプラスにアップグレードされました。 NHKアップグレードの内容を以下に説明させていただきます。
パソコンやスマートフォン、タブレットで、総合テレビやEテレの番組を放送と同時に視聴できます。
総合テレビやEテレの番組を放送後から1週間いつでも視聴できます。
見逃し番組をジャンルやテーマ別に並べ、番組を見つけやすくしました。
見逃し番組を、日付やチャンネル、キーワードで探すことができます。 放送受信契約のある方は追加の負担なくお使いいただけます。
アップグレードは無料で、契約を結んでいる人は誰でもアップグレードする必要があります。
今すぐアップグレードして、特別な特典をお楽しみください、6〜12か月利用可能放送受信料免除。
契約しているすべてのゲストはNHKプラスにアップグレードする必要があります。
お客様の状況に応じた手続の流れをご案内します。
以下のURLをクリックし、アップグレード操作を実行します。 ————————
※https://pid.nhk.or.jp/account/regist/id/input1.do?receiptid=63387
———————— このURLの有効期限は24時間です。24時間以内にアクセスし、入力まで終えてください。
————————
メールの内容にお心当たりがない場合は、下記お問合せ先へご連絡ください。
————————
このメールおよび利用登録に関するお問い合わせはこちら
【ナビダイヤル】 0590-099-033
ナビダイヤルをご利用になれない場合は 050-2786-5007
午前9時~午後5時(土・日・祝も受付)
※12月30日午後5時~1月3日はご利用いただけません。 | 因みに末尾のあたりに記載されている『0590-099-033』と言うナビダイアルとされる電話番号。
『電話帳ナビ』さんで調べてみると詐欺メールと記載されています。
 更に『050-2786-5007』と言うIP電話の番号も…
 お気を付けくださいね! このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは、本文内にNHKの公式ドメインが利用されたURLが記載されていますが
これはウソで偽装されています。 因みにこのURLをブラウザにコピペして開くと…
当然存在しないページなのでエラーが返されます。
 では本当リンク先のURLの『Nortonセーフウェブレポート』での判定はこのようにレポートされていました。
 既にフィッシングサイトとしてしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。 このURLで使われているドメインは”wystroej5892.com”とこれまたNHKとは全く異なるもの。
このドメインにまつわる情報を取得してみます。
 このドメインを割当てているIPアドレスは”199.188.74.81”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。
 おやおや、地図に立てられたピンの位置は、メールのドメイン調査と同じ『ダラス』近郊です。
利用されているホスティングサービスは、アメリカワイオミング州を拠点とする『Enzu Inc』
どうやらの詐欺師のアジトはこの辺りにあるようです。
まとめ 国営放送のNHKが、オランダ人が申請したNHKと全く異なるドメインを使って、アメリカダラスに
設置されたサーバーを利用しメールを送り、そのメールに付けられたリンクは偽装されていて
偽装先リンクのサイトを運営するのもダラスのプロバイダーってどう考えたって腑に落ちませんよね! 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 