空きドメインでメールって使えるの?
いつもご覧くださりありがとうございます。
皆さんはネット上のフリーマーケットサービスをご利用されているでしょうか?
自分としては不用品でも、他人にとって利用価値のあるものって多くあると思うので
私も便利なので活用したいと思いつつまだ一度も使ったことのないサービスです。
そんなフリマサービスでなのがご存じの通り『メルカリ』ですよね。
今回はこの『メルカリ』の名を騙ったフィッシング詐欺メールのご紹介となります。
そのメールがこちらです。
冒頭からのこのくだり、どこかで見たことがあるなとブログ内も記事を検索してみると
これと全く同じくだりのメールを計4つ書いてありました。
『セゾンカード』関連が3通、そして『ビューカード』関連が1通と、どれもクレジットカードユーザーを
対象としたものばかり。
このメールは、そのメールを一語一句余すことなく転用したものなので『あなたの口座の安全のために』とか
メルカリから来たメールには違和感の有る仕上がりになっています。
それにそのままコピーして利用されているので『こ確認のお手続き』などと間違ったまま使われていますし
『アカウントが停止される』を連呼し、どこか別の複数のメール本文から切り取って貼り付けたような
内容となっています。
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきます。
件名は『[spam] 【重要なお知らせ】メルカリ事務局からのお知らせご利用確認のお願い』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
差出人は
『メルカリ <order-update@nryi.org>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
いつものことですが、メルカリさんのオフィシャルサイトでURLを確認すれば簡単に分かりますが
メルカリさんの公式ドメインは”mercari.com”で”nryi.org”なんてメリカ利を全く連想することが
できないようなドメインではありません!
因みにこの”.org”が使われたドメインを『お名前.com』さんで検索してみるとこのような結果が
得られました。
何とこのドメインは現在空いているようで、今すぐにでも登録可能となっています。
皆さんご存じの通り、空きドメインでメールの受送信はできませんからこのアドレスは
偽装ということになりますね!
南京市付近から発信されたメールだった
では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。
| Received:『from nryi.org (unknown [180.120.163.48])』 |
ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。
”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは
送信者のデバイスに割当てられたもので偽装することができません。
故にこのIPアドレスを紐解けば差出人の素性が見えてくるはず!
ではこのIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)
地図に立てられたピンの位置は、中国の南京市付近。
送信に利用されたのは、中国最大の携帯電話網を誇る『Chinanet』が運営するプロバイダーです。
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー
を介して私に届けられたようです。
詐欺サイトは中国のドメインを使い香港で運営
では引き続き本文。
| 最近行われましたプライバシ-ボリシ-の改定に伴いまして、こ確認のお手続きは、一回限りで、数分で終了致します。
お客様によるご確認行為は必須となっており、お客様のアカウント情報のご確認が行われなかった場合は、アカウントが停止される可能性がごさいます。
この確認は義務付けられており、確認していただけない埸合は、アカウントが停止される場合もあります。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
■ご利用確認はこちら
※あなたの口座の安全のために,請求先情報の確認が完了するまで、お客様のアカウントへのアクセスを停止させていただきますので、ご了承ください。
何卒、よろしくお願い申し上げます。
※24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。 |
読み返してみると、アカウントが停止という言葉が繰り返されていてものすごく違和感を感じますね。
このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『■ご利用確認はこちら』って書かれたところに付けられていて
コンピュータセキュリティブランドの『Norton』の『Nortonセーフウェブレポート』では
このように判定されていました。
既に『フィッシングサイト』としてしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。
ちょっと、ちょっと、安全って…そりゃヤバいでしょ!
早急に評価を変更していただけるように私から変更の申請を行っておきます。
このURLで使われているドメインは”gscbolt.cn”と、メルカリとは全く異なりぬけぬけと中国の国別ドメイン
が使われています。
このドメインにまつわる情報を取得してみます。
このドメインは、どうやら中国の方が申請を行っているようですね。
割当てているIPアドレスは”210.56.49.243”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)
地図に立てられたピンの位置は、香港の九龍城区にある紅カン付近。
利用されているホスティングサービスは、シンガポールに拠点を置く『BGP Consultancy Pte Ltd』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。
危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。
すると開いたのはこのようなメルカリのログインページ。
本物と比較すると若干違いはあるものの、頻繁に見ている方以外は気が付かないでしょうね。
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。
まとめ
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |
