サイトアイコン HEARTLAND

『詐欺メール』『4 受信したメールが返されました』と、来た件

絶対にログインしないで!
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

容量オーバーしているのにどうしてメールが届くのかな?

いつもご覧くださりありがとうございます。
何気なく普段使っているメール。
そこで使われているのがメールアドレスですが、会社のものであったり、GoogleやYahoo!の
フリーメールだったり、キャリアから貸与されたものやまたはご自身が独自で所得されたものでああったりと
様々なものがあると思います。
そんな日々の連絡ツールとして使ったいるメールアドレスが、ある日突然誰かに乗っ取られてしまったら
なんて考えたことはありますでしょうか?
今回は、そんなメールアカウントの乗っ取りを目的とした詐欺メールのご紹介となります。
そのメールと言うのがこちらです。

さもメールサーバーの管理者から送られてきたようなふりをして、サーバーの容量が限界に達したため
4通のメールが返信されたことを理由に、メールサーバー容量を変更するためリンクに誘い込むものです。

でも、ちょっと考えてみてください。
4通のメールが返されてしまう程サーバー容量がひっ迫しているのにどうしてこのメールは正常に
届いたのでしょうか?
普通ならこのメールでさえ届かないはずだと思いませんか?(笑)
余りに浅はかな詐欺師ですよね!

目的は、メールアドレスの乗っ取り。
乗っ取ったメールアカウントはろくなことに使われずフィッシング詐欺メールの温床とされることでしょう。

では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきます。

件名は『4 受信したメールが返されました。 05 March, 2024』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。

差出人は
『***** Message Server <vega.kurnia@petromine-energy.com>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

”*****”部分は、私のメールアドレスの@以降のドメインが記載されており、いかにもサーバー管理者からの
メールのように感じてしまいます。
もちろん”petromine-energy.com”なんてドメインに全く心当たりなんてありません。


IPアドレスの割り当て地は?!

では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『Received: from [127.0.0.1] (unknown [139.64.172.146])』

ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。

末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。

Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは
送信者のデバイスに割当てられたもので偽装することができません。
故にこのIPアドレスを紐解けば差出人の素性が見えてくるはず!
ではこのIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”petromine-energy.com”が差出人本人のものなのかどうかを
調べてみます。

これがドメイン”petromine-energy.com”を割当てているIPアドレスの情報です。
これによると”222.165.225.243”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIPと同じ数字の羅列になるはずですが、それが全く異なるので
このメールのドメインは”petromine-energy.com”ではありません。
これでアドレスの偽装は確定です!

更に”Received”のIPアドレス”139.64.172.146”について調べるとこのような結果が出ました。


(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

どうやらこのIPアドレスは現在、アメリカテキサス州オースティンに拠点を置くゲーム会社が
利用しているようです。

利用されたプロバイダーは『Centrilogic, Inc.』
このプロバイダーは、トロントとニューヨークに拠点があるようです。
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー
を介して私に届けられたようです。


サンフランシスに設置されたウェブサイトで運営

では引き続き本文。

こんにちは *****@*****.***,

メールボックスのメモリ領域がほぼいっぱいになっているためです。

4通のメールが返ってきました。

メールボックスの記憶域を増やす。

リンクをクリックしてプロセスを完了します

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『リンクをクリックしてプロセスを完了します』って書かれたところに付けられていて
コンピュータセキュリティブランドの『Norton』の『Nortonセーフウェブレポート』では
このように判定されていました。

既に『マルネット』としてしっかりブラックリストに登録済みですね。
この『マルネット』と言う言葉、聞きなれない言葉ですが、簡単に言えばマルウエアを配信するための
ネットワークを示す言葉です。

このURLで使われているドメインは”visuallizer.com
このドメインにまつわる情報を取得してみます。

近衛御メインを申請したのは、匿名でドメイン申請代行を受け付けているアメリカアリゾナ州にある
『Domains By Proxy』と言う企業です。
匿名でドメイン申請代行を行うことでサイバー犯罪の温床となるので、この企業は問題視されています。
このドメインを割当てているIPアドレスは”172.67.204.134
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

地図に立てられたピンの位置は、メジャーリーグのサンフランシスコジャイアンツの本拠地
『オラクル・パーク』のすぐ脇辺り。
利用されているホスティングサービスは『Cloudflare』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

開いたのはこのようなキッチンにコックが並んだ絵画が付いたログインページです。
『924.44MBのメールボックススペースが使用されます』とあるのでサーバー容量は1GBなのでしょうか?
どうやら4通じゃなくて6通貯まっているようですね。(笑)

『サインインしてドキュメントを共有する』って、メールサーバーにログインするのに
ドキュメントを共有って、ちょっと意味不明な感じです…

因みに再読み込みしてみたら、昭和のマッチ箱のような絵柄が付けられたページに変わり、貯まっている
メールの数も7通に変更されたので、ランダムに変化するようです。

まあ、こんな気色の悪いサイトされもログインしないと思いますが…


おまけ

このメールの表示形式をHTMLからTEXT形式に切り替えてみたところ、このような英文が炙り出しのように
浮き上がってきました。

抜き出して翻訳してみました。

Disclaimer: This message and its attachment(s), if any, are private and
confidential and may contain legally privileged information that you may not
share or disclose without the sender’s express permission. If you are not the
intended recipient, please contact the senderimmediately and delete this message
and all its attachment(s), if any, from your system and your email server. You
should not copy this message or disclose its contents to any other person or use
it for any purpose. Statements and opinions expressed in this e-mail are those
of the sender, and do not necessarily reflect those of Riyadh Infrastructure
Projects Center. Riyadh Infrastructure Projects Center accepts no liability –
expressed or implied – for any damages caused by this e-mail nor any viruses it
may contain.
免責事項: このメッセージとその添付ファイル (存在する場合) は非公開であり、
機密情報であり、法的に許可されていない情報が含まれる場合があります。
送信者の明示的な許可なしに共有または開示することはできません。あなたがそうでない場合は、
意図した受信者は、直ちに送信者に連絡し、このメッセージを削除してください。
システムおよび電子メール サーバーからのすべての添付ファイル (存在する場合)。あなた
このメッセージをコピーしたり、その内容を他人に開示したり、使用したりしないでください。
それはどんな目的であってもです。この電子メールに記載されている声明や意見は次のとおりです。
送信者のものであり、必ずしもリヤドのインフラストラクチャーのものを反映しているわけではありません
プロジェクトセンター。リヤド・インフラストラクチャー・プロジェクト・センターは一切の責任を負いません –
明示的か黙示的かにかかわらず、この電子メールやウイルスによって引き起こされた損害については、
含有することができます。

なんだかさっぱり意味が分かりませんが、これは恐らく『ワードサラダ』と呼ばれるもの。
このワードサラダとは、簡単に言えば、メールの受信サーバーに備わった詐欺メールフィルターを
通過させるために、意味不明な文章を混入させこれらのフィルターを混乱に陥らせるための
1つの手法です。
こんなことをしてまでも私のメールアドレスを乗っ取りたかったんですね。(笑)


まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了