『?』ばかりが目立つ いつもご覧いただきありがとうございます。 月曜の朝、空は一面雲の無い快晴な一週間の始まりですが、私は憂鬱。 週末に溜まった迷惑メールで溢れ返ったメールの受信が始まるため… 案の定、今朝も大量の詐欺メールが滝のように押し寄せてきています。 その中から今回は、こちらのメールをご紹介しようと思います。 これは、日本のクレジットカード会社の『株式会社ジェーシービー(JCB)』を装ったフィッシング詐欺メール。 JCBが展開するウェブサービスでポイント交換サービス『𝖮𝗄𝗂 𝖣𝗈𝗄𝗂ポイントプログラム』でポイント交換が 行われたことを通知する内容となっています。 因みに、私、JCBカードを持っていませんが、もしJCBユーザーがこのようなメールを受け取ったとしたら 不正を疑ってリンクを押してしまうかも知れませんね…(;^_^A このメール、本文を見ていくと所々にいくつか『?』を見つけることができます。 どうやらこれにはある一定の法則があるようで、恐らく『~』や『・』など記号が配置されているであろう 箇所に置かれているような気がしますので、文字化けしてしまい『?』に置き換えられている感じです。 故にこのメールの作者は日本人ではなく、他の言語で書かれたものを機械的に翻訳し文字化けが発生 してしまったのではないかと考えます。 では、このメールを解体し詳しく見ていきましょう! まずはプロパティーから見ていきます。 件名は『[spam] <MyJCB>商品申込受付のお知らせ』 ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は 『”MyJCB” <support@service.kh7twetyty.com>』 皆さんはご存じでしょうか? この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。 ですから、ここは信用できない部分です。 いつものくだりでもうしけありませんが、『JCB』のオフィシャルサイトでURLを確認すれば 簡単に分かりますが、JCBのドメインは”jcb.co.jp”で百歩間違ったとしても”kh7twetyty.com”なんて ドメインではありません。 故に子音メールはJCBからのものではないことが一目で分かります! ドメインは中国から申請され、発信元はロサンゼルス では、このメールが悪意のあるメールであることを立証していきましょうか! まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。 私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。 末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で 同じ数字の集まりは世界中に1つしかありません。 因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした ものがドメインと呼ばれるものです。 では、メールアドレスにあったドメイン”service.kh7twetyty.com”が差出人本人のものなのかどうかを 調べてみます。 これがドメイン”service.kh7twetyty.com”の登録情報です。 これによるとこのドメインは、中国韶関市(しょうかんし)の方が申請されていることが分かります。 そして”192.210.166.184”がこのドメインを割当てているIPアドレス。 もちろんこのメールアドレスJCBの関係者ではありませんが、”Received”のIPアドレスと全く同じ数字なので このメールアドレスは、差出人ご本人さんのもので間違いなさそうです。 ”Received”に記載されているIPアドレスは、差出人が利用したメールサーバーの情報で これを紐解けば差出人の素性が見えてきます。 このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。 (※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 地図に立てられたピンの位置は、アメリカのロサンゼルス近郊。 そして送信に利用されたプロバイダーは、カナダに拠点を置く『HostPapa』 このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー を介して私に届けられたようです。 リンクは偽装でどちらも同じリンク先 では引き続き本文。 ※メール本文をそのままコピペしているので、文字化け等はご容赦ください。 このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。 そのリンクは、本文内に2箇所付けられておりどちらも”jcb.co.jp”とJCBの公式ドメインが 利用されているように見えますが、これはリンク偽装されていて、この2箇所のリンクは どちらも同じ詐欺サイトへ接続されるよう仕組まれています。 そのリンク先は、コンピュータセキュリティブランドの『Norton』の『Nortonセーフウェブレポート』では このように判定されていました。 既に『フィッシングサイト』としてしっかりブラックリストに登録済みですね。 リンクへ移動してもサイトはブロックされるでしょう。 このURLで使われているドメインは”myjcb.pqxslvb.cn”と、中国の国別ドメイン。 このドメインにまつわる情報を取得してみます。 このドメインの申請者は、詐欺メール関連の調査で良く見掛ける中国の方。 そして割当てているIPアドレスは”47.74.9.128” このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。 (※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 出ました『杉並区立和泉二丁目公園』 ここには星の数ほど詐欺サイトが存在するようで、これらの調査では頻繁に見掛けます。 利用されているホスティングサービスは、中国に拠点を置く『Alibaba Cloud LLC』 この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 リンク先は、私の環境から接続してみると『この localhost ページが見つかりません』と書かれた エラーページに繋がります。 恐らく私のようなPC環境からの接続と、スマホやタブレットからの接続を何らかの理由で切り替えて いるようで、PC環境からの接続の場合は”localhost”に接続され、それ以外の場合は詐欺サイトに つながるようです。 まあ私は、、深追いいたしませんが… まとめ 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの フィッシング詐欺サイトが作られ消滅していきます。 次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |