『PayPayカード』のメールが『えきねっと』から自動配信?!いつもご覧いただきありがとうございます! 『PayPay』が緊急の連絡だそうです!
 不正利用が発覚したようですが、残念ですがこの本文、詐欺メールのテンプレートじゃん。
カード会社名だけ変えれば無限に使えるテンプレートを使い倒すのでしょうね…(^^;)
よく見りゃメールアドレスがPayPayのではないし…
それに『このメールは「えきねっと」より自動配信されています.』って、寄せ集めのキメラじゃないか! では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきます。 件名は『【重要】PayPay からの緊急の連絡 2024/3/16』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
どこの世界に緊急連絡を一方通行のメールでする?
急ぎの連絡なら電話するでしょ! 差出人は
『”support” <support@tamerrian.com>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 PayPayカードのオフィシャルサイトでURLを確認すれば簡単に分かりますが、こちらのドメインは
”paypay-card.co.jp”で”tamerrian.com”なんてどこの馬の骨かわからないようなドメインでは
ありません!
発信元は『ウクライナ』では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 | Received:『from mail1.tamerrian.com (mail1.tamerrian.com [194.38.20.115])』 |
ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。 末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。 では、メールアドレスにあったドメイン”tamerrian.com”が差出人本人のものなのかどうかを
調べてみます。
 これがアメリカミズーリ州の方が申請されたとされるドメイン”tamerrian.com”の登録情報です。
これによると””がこのドメインを割当てているIPアドレス。 このドメインはPayPayカードのものではないものの”Received”のIPアドレスと全く同じ数字なので
このメールアドレスは、差出人ご本人さんのもので間違いなさそうです。 ”Received”に記載されているIPアドレス”194.38.20.115”は、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 地図に立てられたピンの位置は、現在戦火にさらされているウクライナの『Henichesk(ヘニチェスク)』付近。
そして送信に利用されたプロバイダーは『Nts』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー
を介して私に届けられたようです。
結局リンク先は『イオンカード』だったでは引き続き本文。 | 【PayPay 】利用いただき、ありがとうございます。 このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました.
つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します.
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません.
何卒ご理解いただきたくお願い申しあげます.
ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい. ■ ご利用確認はこちら ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何とぞご理解賜りたくお願い申しあげます.
━━━━━━━━━━━━━━━ ■発行者■
PayPayカード株式会社
〒102-8460 東京都千代田区飯田橋3丁目10−10 本社 〒102-8422 東京都千代田区紀尾井町1番3号 福岡本社 〒812-8524 福岡市博多区博多駅前四丁目21番26号 電話番号:092-451-5971
──────────────────────────────────
このメールは「えきねっと」より自動配信されています.
返信いただきましても対応致しかねますので、あらかじめご了承ください.
Copyright © PayPay Corporation, All Rights Reserved. |
このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは、赤字にした2箇所に付けられていて、そのリンク先はどちらも同じで
コンピュータセキュリティブランドのトレンドマイクロの
『サイトセーフティーセンター』での危険度はこのように評価されていました。
 安全性は『未評価』で、まだ評価の対象にされていないようです。
どうして詐欺サイトなのに評価対象にされていないのでしょうね?
それは後ほど実際にリンク先で確認してみることにしましょう! このURLで使われているドメインは”service.xssp182.com”
このドメインにまつわる情報を取得してみます。
 このドメインを割当てているIPアドレスは”194.38.21.97”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 地図に立てられたピンの位置は、またしてもウクライナで、今度は首都の『キーウ』
利用されているホスティングサービスも先ほどと同じ『Nts』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 トレンドマイクロの『サイトセーフティーセンター』での危険度評価からすると、リンク先の
詐欺サイトは、どこからもブロックされることなく無防備な状態で放置されていると思われます。
そんなサイトに、調査を目的で安全な方法を利用して訪れてみることにします。 すると開いたのは、イオンカードの公式サイト。
リダイレクト(自動転送)が仕組まれていたようですね。
 思わず本物の『イオンカード』のオフィシャルサイトと書きそうになりましたが、そういえば今回は
PayPayカードの詐欺メールだったわ…(^^;) 元々はPayPayカードの詐欺サイトにつながっていて、何らかの理由であるタイミングでリンク先を
リダイレクトさせイオンカードのページに切り替えたのか、それとも最初から意図的にイオンカードへ
リダイレクトさせていたのか、今となっては知る由もありません。
まとめこのメール、最初から愉快犯によるただの迷惑メールだったのでしょうか?
トレンドマイクロの『サイトセーフティーセンター』での危険度評価からするとその可能性の方が
大きいような気がします。 でも恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
