イオンカードがETC利用照会サービスのメールを?! タイトル見て (。´・ω・)ん? って思った方も多いと思います。
イオンカードってETCサービスの取次店とかやってたっけ?💦
同じ件名で内容の異なるメールが2通届いていました。
 
1通目は、ETCアカウントで異常なアクティビティが検出されたからリンクを辿ってアカウント情報を
更新する必要があると言うもの。
そして2通目は、最近のアカウントの状況に関する重要な変更があったのでリンクからログインして
関連情報を確認・確認を促すもの。
ちょっと待ってください、1通目にETCのアカウントって書いてありますが、元来ETCにアカウント
なんてありましたっけ?
それってもしかして偽メールが横行している『ETC利用照会サービス』のアカウントの間違いでしょうか?(笑)
2通目は、本文の見出しにちゃんと『ETC利用照会サービス』と書いてありますね。 それに両メール共、末尾に何やら同じ内容の英文が書かれていますね。
参考までに訳してみましょうか。 何でしょうこれは?
どうやらウェブサイトの集客のSEOに関することが書かれているようですね。
そんなのETCにどのような関連があるのでしょうか?
もしかしてこれは、メールの受信サーバーのセキュリティである迷惑メールフィルターを
混乱させるために付加された『ワードサラダ』の一環なのかもしれませんね。 まあどちらにしてもこのメールはイオンカード若しくはETC利用照会サービスさんを騙った
フィッシング詐欺メールだと思われます。
では、この中から2通目をチョイスし詳しく見ていきましょう!
まずはプロパティーから見ていきます。 件名は『[spam] 【ETC】重要なお知らせ(自動配信メール)』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は
『”イオンカード” <cloud-*****@uber.com>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 ”*****”部分には受取ったメールアドレスのアカウント名が入れられています。
これは最近のフィッシング詐欺メールのあるあるです。
そして”uber.com”とウーバーイーツさんのドメインが使われているのもあるあるです。
これらから考察して、この差出人は元々フィッシング詐欺なんてするつもりが無いもかも…
なんて思ったりもします。。
差出人の本当のメールアドレスドメインが判明 では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーの情報。
すなわち差出人が使った送信サーバーの自局情報です。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
でもこの数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。 このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。 ※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する では、絶対に違うとは思いますがメールアドレスにあったドメイン”uber.com”が差出人本人の
ものなのかどうかを調べてみます。
 これがドメイン”uber.com”を割当てているIPアドレスの情報です。
これによると”34.98.127.226”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIP”193.124.46.98”と同じ数字の羅列になるはずですが、それが全く異なるので
このメールのドメインは”uber.com”ではありません。
これでアドレスの偽装は確定です! ”Received”には”mail.phenixmicroscope.com.cn”なんて中国のドメインも記載されていますね。
このドメインとIPアドレス”193.124.46.98”にはどのような関連性があるのか気になりますよね?
ならばサクッと調べてみましょう!
 ”mail.phenixmicroscope.com.cn”とIPアドレス”193.124.46.98”はぴったりマッチング♪
この差出人の本当のメールアドレスドメインはこのドメインで間違いありません。
このドメインは中国杭州市の『杭州名商網絡有限公司』と言うレジストラに依頼して取得申請しています。
記載されている”Registrant”も中国の方の氏名のようです。 ”Received”に記載されているIPアドレスは、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。
 地図に立てられたピンの位置は、トルコの大都市『イスタンブール』
送信に利用されたのは、アメリカに拠点を置く『Baxet Group Inc.』と言うプロバイダーです。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
アムステルダムに設置のサーバー では引き続き本文。 冒頭の挨拶で『尊敬する~』なんて言葉を使うのは日本人ではありません。
恐らくはどこかの言葉を翻訳したものを貼り付けたのでしょう。 このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『ログインして確認する』って書かれたところに付けられていて
リンク先はGoogleの『透明性レポート』のサイトステータスはこのようにレポートされていました。 
既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。 このURLで使われているドメインは”baikalsite.com”
このドメインにまつわる情報を取得してみます。
 中国広東省の方が申請されたこのドメインを割当てているIPアドレスは”195.211.124.165”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。
 地図に立てられたピンの位置は、オランダの『アムステルダム』近郊。
利用されているホスティングサービスは、香港に本拠を置く『Cgi Global Limited』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。
ブロックされるものの詐欺サイトは稼働中 危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。 するとこのようにChromeにしっかりとブロックされました。
 構わず安全でないとされるページに移動してみます。
すると開いたのは、詐欺メール調査では見慣れた『ETC利用照会サービス』と書かれた偽サイト。
 ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。
まとめ イオンカードを名乗っておきながらのETC利用照会サービスの偽サイトに誘導するって
正気の沙汰とは思えない暴挙に出てきましたね。
騙す気はサラサラなくて愉快犯の迷惑メールに類されるものでしょう。
但し詐欺サイトは現在も稼働中に付き注意に越したことはありません! 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
