またしても幽霊企業からのメール 『お取引目的等の確認のお願い』ってタイトルのメール、今までに複数の金融機関の名前で
届いたことがあり、何度かうちのサイトでもご紹介していますが、今回もまたこの件名で新たに
『イオンクレジットサービス』の名を騙って送られてきました。
そのメールがこちらです。
 この件名や末尾の業務受託会社として記載のある『イオンクレジットサービス株式会社』って企業は
ウィキペディアによるとこのように書かれています。 | かつて存在した日本のクレジットカード会社。イオングループにおけるクレジットカード会社で、イオンフィナンシャルサービスの連結子会社である。2023年6月1日に完全親会社のイオンフィナンシャルサービスに吸収合併され、解散した。 | ということで『イオンクレジットサービス株式会社』は、現在は存在しない企業名。
そんな幽霊のような企業からメールなんて来るはずがありませんよね!
よってこのメールは偽メールだと判断できます。 では、このメール、いったい誰がどのような目的をもって送られてきたのかを
解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は『[spam] お取引目的等の確認のお願い』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は
『”イオンクレジットサービス株式会社” <support@rmfag.cn>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 もしこのメールが本当にイオングループから送られてきたものなら@以降のドメインには
必ず”aeon“と自社名が入るはずですが、このアドレスにはそれがありません。
ここから見てもこの差出人はイオンの関係者ではないことが分かりますよね!
”Received”から差出人を調査 では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。
 | Received:『from mail.rmfag.cn (unknown [106.75.166.186])』 | ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーのもので
すなわち差出人が使った送信サーバーの自局情報です。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
でもこの数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。 では、メールアドレスにあったドメイン”rmfag.cn”が差出人本人のものなのかどうかを調べてみます。
 これがドメイン”rmfag.cn“の登録情報です。
このドメインは、これらの調査でよく見掛ける氏名の方が申請されたもので
これによると”106.75.166.186”がこのドメインを割当てているIPアドレス。
もちろん差し出したのはイオン関係者ではないものの”Received”のIPアドレスと全く同じ数字なので
このメールアドレスはご本人さんのもので間違いなさそうです。 ”Received”に記載されているIPアドレス”106.75.166.186“は、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。
 地図に立てられたピンの位置は、中国上海市にある『楊浦区(Yangpu)』近郊。
送信に利用されたのも中国の『Ucloud』と言うプロバイダーです。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
サイトはしっかりとブロック済み では引き続き本文。 | イオンダイレクトをご利用いただき、誠にありがとうございます。 当社では、犯罪収益移転防止法に基づき、お取引を行う目的等を確認させていただいております。
また、この度のご案内は、当社ご利用規約第 9 条1 項 7 に基づくご依頼となります。 お客様お客様の直近の取引についていくつかのご質問がございます、下記のリンクをアクセスし、ご回答ください。
■お取引目的の確認 ■ 上記を入力して認証手続きをお願いいたします。
※家計簿アプリなどをご利用中の場合、画面上の操作を直接行わなくても本メールが送信される場合がございます。
※入力には有効期限がございます。必ず有効期限内にお手続きください。
有効期限が切れた場合は再度お手続き頂きますようお願いいたします。 | このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『■お取引目的の確認 ■』って書かれたところに付けられていて
リンク先の『Nortonセーフウェブレポート』での判定はこのようにレポートされていました。
 既にフィッシングサイトとしてしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。 このURLで使われているドメインは、サブドメインを含め”aern-ne-jp.fffaay.cn”
このドメインにまつわる情報を取得してみます。
 申請者はメールアドレスのドメインと全く同じ人物。
このドメインを割当てているIPアドレスは”104.21.75.228”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。
 地図に立てられたピンの位置は、詐欺サイトあるあるの『トロント市庁舎』付近。
そして利用されているホスティングサービスも詐欺サイトあるあるの『Cloudflare』です。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。 すると真っ先にChromeが赤い画面でブロックしてきました!
 Googleでも既に悪意のあるサイトだとリストアップされているようです。 更に足を進めてみます。
すると次に開いたのはこのようなページです。
 本物そっくりのログインページですね。
でもURLはイオンカードのものではありませんから偽サイトです!
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。
まとめ 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 