『何とぞご理解服りたく』
いつもご覧くださりありがとうございます。
今回は『佐川急便』を騙り、さも再配達の荷物があるように見せかけ、ありもしない再配達料金を
をクレジットカードで請求しカード情報を盗み出そうとするフィッシング詐欺メールのご紹介となります。
そのメールがこちらです。
例によって、いくつかの疑問点が残されたこのメール。
このメールって件名から再配達に関する内容だろうことは読み取れるものの、本文には明確に
再配達が必要な荷物があると書かれているわけではありません。
ただし再配達を依頼するためのリンクボタンがあるのでその必要があるのだろうと…
でもこの差出人、メールアドレスがなぜだかそのドメインが佐川急便のものではなさそうです。
それに末尾に書かれている『何とぞご理解服りたくお願い申しあげます』って部分にある『服りたく』って
読めます??
通常は『賜(たまわり)りたく』ですよね?
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。
件名は『[spam] Webサイト上で 荷物の集荷を依頼できる,再配達をご利用のお客さま。』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
差出人は
『"佐川急便" <redeliver@sagawa-notice.shop>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
佐川急便さんの公式ドメインは”sagawa-exp.co.jp”でこのようなショッピングサイトを連想させるような
ドメインではありません!
ここ見ただけでもこのメールの差出人が佐川急便関係者ではないことが一目でわかりますよね?
メールの発信元はロサンゼルス
では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。
| Received:『from sagawa-notice.shop (unknown [152.32.233.227])』 |
ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーの情報。
すなわち差出人が使った送信サーバーの自局情報です。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
でもこの数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する
では、メールアドレスにあったドメイン”sagawa-notice.shop”が差出人本人のものなのかどうかを
調べてみます。
これがドメイン”sagawa-notice.shop”の登録情報です。
申請者は中国福建省の方です。
これによると”152.32.233.227”がこのドメインを割当てているIPアドレス。
もちろんこのメールは佐川急便からのものではないものの”Received”のIPアドレス”152.32.233.227”と
全く同じ数字なのでこのメールアドレスは、差出人ご本人さんのもので間違いなさそうです。
”Received”に記載されているIPアドレスは、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。
地図に立てられたピンの位置は、ロサンゼルス近郊
送信に利用されたのは、『Ucloud Information Technology (Hk) Limited』と言う香港のプロバイダーです。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
既に危険なサイトとして登録済み
では引き続き本文。
| Web再配達受付サービス ご不在連絡票に記載されている「営業所番号」、「お問い合せ送り状 No. 」を入力してください。
営業所番号(半角数字):0010
お問い合せ送り状No.①(半角数字):4001-6064-9718
再配達のご依頼
ご不便とご心配をおかけしまして誠に申し訳ございませんが、何とぞご理解服りたくお願い申しあげます。
■発行者〒812-0051 福岡県福岡市東区箱崎ふ頭4-12-5 |
このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『再配達のご依頼』って書かれたところに付けられていて、
そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。
既にフィッシングサイトとしてしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。
このURLで使われているドメインは”aryn.za.com”と、もう佐川急便の影すらありません(笑)
このドメインにまつわる情報を取得してみます。
このドメインを申請代行したのは、ドメイン登録記録内の所有者の連絡先情報を非公開として
ドメイン登録を行うことで知られる、アメリカアリゾナ州に拠点を置くDomains by Proxy(DBP)
それゆえにサイバー犯罪の温床として利用されることが多いと問題視されています。
このドメインを割当てているIPアドレスは”104.21.33.13”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。
地図に立てられたピンの位置は、詐欺サイトあるあるの『トロント市庁舎』付近。
利用されているホスティングサービスは、アメリカの『Cloudflare』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。
ありもしない再配達料の選択肢はクレカのみ
危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。
すると開いたのは、佐川急便のサイトにそっくりに作られた偽サイトです。
荷物は、福岡営業所から東京営業所に送られたようです。
因みに私、名古屋在住ですけどね…(笑)
試しに『再配達』と書かれた青いボタンを押してみます。
すると次に開いたのは、名前や住所などを記入するフォームページ。
でもその中に、しれっと再配達料として110円支払う必要があることが記載されていますね。(^^;)
もちろんご存じの通り、実際には佐川急便から再配達料金は徴収されません。
この再配達料金は、クレジットカード決済しか選択肢がありません。
ここがミソで、こうすることで犯人はクレジットカード情報を入手することができるわけです。
姑息ですよね…
まとめ
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |
