どうしてマスターカードが私のメールアドレスを? いつもご覧くださりありがとうございます。 またしても『MasterCard』とされる差出人からカードの年会費についてのメールが届きました。
 どうやらカード年会費の支払いに問題が生じたためカードが一時停止されたとのことです。
解除するためにリンクから支払い方法を更新する必要があるようです。 このメール、もちろんフィッシング詐欺メールですが、書いてある内容にいくつかおかしな部分があります。
まず、差出人のメールアドレス。
マスターカードからならマスターカードの公式ドメインが使われたメールアドレスになるはずですが
この差出人は”dvr439.com”などとどこの馬の骨のドメインなのか分からないようなものを使っています。
因みにマスターカードさんの公式ドメインは”mastercard.co.jp”です。 そして皆さんご承知かとは思いますが、年会費を徴収するのはマスターカードではありません。
年会費を徴収するのはマスターカードではなく、各カードの発行会社に対してです。 でもって、年会費の支払い方法を更新するのに、リンク先への案内には『ご利用明細のご確認はこちら』と
書いてあります。
あれ?どうして利用明細の確認なのでしょうね?(笑)
恐らく別の詐欺メールから本文を流用したのでしょう… 更にマスターカードがどうして私のメールアドレスをご存じなのでしょうか?
クレジットカードの登録にはメールアドレスは必須でないはずですし、もしそれが必要であったとしても
それを知っているのは、各カードの発行会社でマスターカードではないはず。
それを知っているとすれば、カードの発行会社からの情報漏洩ってことになりますよ! では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は『【MasterCard】カード年会費のお支払い方法に問題があります』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は
『Mastercard <admin@dvr439.com>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 先にも書きましたが”dvr439.com”は、マスターカードさんのドメインではありません。
オフィシャルサイトでURLを確認すれば簡単に分かりますが、マスターカードさんの公式ドメインは
”mastercard.co.jp”です。
発信はイギリスのロンドン付近 では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 | Received:『Received: from unknown (HELO mail.dvr439.com) (89.213.166.176)』 | ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーの情報。
すなわち差出人が使った送信サーバーの自局情報です。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
でもこの数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。 このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。 ※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する では、メールアドレスにあったドメイン”dvr439.com”が差出人本人のものなのかどうかを
調べてみます。 これがドメイン”dvr439.com”の登録情報です。
 このドメインはマスターカードのものではありませんが”Received”のIPアドレスと全く同じ数字なので
このメールアドレスはご本人さんのもので間違いなさそう。
このドメインは東京から申請されているようです。 ”Received”に記載されているIPアドレス”89.213.166.176”は、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。
 地図に立てられたピンの位置は、イギリスのロンドン付近。
送信に利用されたのは、イングランド南西部ドーセット州プールに本社を置く『Haruka Hosting Ltd』と
言うプロバイダーです。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
リンクはマスターカードのオフィシャルサイトへつながった では引き続き本文。 【Mastercard】利用いただき、ありがと うございます。
カード年会費のお支払い方法に問題があります。
カードの利用を一時停止しました。
年会費の支払い方法を更新してください。 ▼ご利用明細のご確認はこちら h**ps://xizipai.com お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。 | ※直リンク防止のためURLの一部の文字を変更してあります。 このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは本文内に直書きされていて、URLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。
 既に詐欺サイトとしてしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。 このURLで使われているドメインは”xizipai.com”
このドメインにまつわる情報を取得してみます。
 群馬県の方が申請されているとされますが、”Registrant City”以降の住所がでたらめですね。 このドメインを割当てているIPアドレスは”23.27.101.78”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。
 地図に立てられたピンの位置は、シンガポールの山奥。
利用されているホスティングサービスは、アメリカに拠点を置く『EGIHosting』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 リンク先を確認しましたが、リダイレクト(自動転送)された上でマスターカードのオフィシャルサイトへ
繋がりました。
最初からいたずら目的でこのメールを送り付けたのか、それとも目的を達成し必要が無くなったので
リダイレクトさせたのか、それとも当局の捜査を避けるために詐欺サイトを捨てたのか。
今となっては知る由もありませんね!
まとめ 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 