全然頭に入ってこない いつもご覧いただきありがとうございます! 皆さんの中には、確定申告が完了しやれやれと思われている方もいらっしゃるのではないでしょうか?
その中には『e-Tax』によって申告を行われたなんて方も多くいらしゃると思います。
そんな『e-Tax』ですが、これに絡む詐欺メールも多く存在し、今日もこのように怪しげなメールが
届いておりますので早速ご紹介していくことにいたします。
 『ご担当者様』って、これ企業宛なのでしょうか?
冒頭から『誠にありがとうございます』を連呼する不思議なメール。
最後まで読んでみましたが、なんか難しい言い回しで全然頭に入ってきません。
いったいこれは何が言いたいのでしょう…
対策手順が箇条書きで書いてあるので何か納税で問題があったのでしょうか?
さっぱり分かりません…(-_-;) 末尾の署名欄に発行元は『国税庁』と書いてありその下には『特許所有 (C) 国税庁 特許情報局』とあります。
特許ってこのメールが特許物ってことでしょうか?
更に意味不明です…それに調べてみたらこの『国税庁 特許情報局』なんて存在しないみたいですよ! では、この?がいっぱいのメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきます。 件名は『[spam] 税務署からのお知らせ【e-Tax個人アカウントの登録確認に関する重要なお知らせ】』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は
『”e-Tax(国税電子申告・納税システム)” <account-update@db4oe2.com>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 『e-Tax』は所得税や消費税などをはじめとした国税の申告や申請、納税に関するオンラインサービスで
国税庁が管理運営しています。
国税庁は国の機関なので利用できるドメインは”nta.go.jp”で、これ以外のドメインを使ってメールを
送ったりウェブページの構築は許されていません。
でもここに書かれているメールアドレスのドメインは”db4oe2.com”
ここを見ただけでも送信元は国税庁ではないことが簡単に分かりますよね!
税務署が地球の裏側の方のドメインを利用?! では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。 末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。 ”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは
送信者のデバイスに割当てられたもので偽装することができません。 では、”Received”にあったドメイン”mail6.db4oe2.com”が差出人本人のものなのかどうかを調べてみます。
 これがドメイン”mail6.db4oe2.com”の登録情報です。
これによると”23.94.233.224”がこのドメインを割当てているIPアドレス。
もちろんこのメールは国税庁からではありませんが”Received”のIPアドレスと全く同じ数字なので
このメールアドレスは差出人ご本人さんのもので間違いなさそうです。
これを見ると、このドメインはメキシコの高地にある都市アグアスカリエンテスの方が申請取得
されているようです。 ”Received”に記載されているIPアドレスは、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に危険性や送信に使われた回線情報とその割り当て地を確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) このIPアドレスを元に割り出した危険度は『脅威レベル:高』
その詳細は『サイバーアタックの攻撃元』表示とされています。 地図に立てられたピンの位置は、アメリカのサンタクララ付近。
そして送信に利用されたプロバイダーもアメリカを拠点とする『ColoCrossing』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー
を介して私に届けられたようです。
詐欺サイトは『杉並区立和泉二丁目公園』付近で運営 では引き続き本文。 このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『→専用リンク』って書かれたところに付けられていて
コンピュータセキュリティブランドの『Norton』の『Nortonセーフウェブレポート』では
このように判定されていました。
 評価は『注意』でカテゴリは『疑わしい』『スパム』と判断されています。 このURLで使われているドメインは”rnsbsytcmqd888.com”
このドメインにまつわる情報を取得してみます。
 このドメインを割当てているIPアドレスは”165.154.38.17”で、またしてもアグアスカリエンテスの方が
申請取得されていますね。 では、このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を
確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 今度は国内ですか。
地図に立てられたピンの位置は、サイバー犯罪の拠点が多数あるとされる『杉並区立和泉二丁目公園』付近。
利用されているホスティングサービスは、香港の『Ucloud Information Technology (Hk) Limited』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。
ちょっとだけ沼にはまってみる 『Norton』の『Nortonセーフウェブレポート』での危険度評価からすると、リンク先の詐欺サイトは
どこからもブロックされることなく無防備な状態で放置されていると思われます。
そんなサイトに、調査を目的で安全な方法を利用して訪れてみることにします。 案の定、あっさり開いてしまったのはこのようなサイト。
 国のサイトをコピーするなんて重罪です! でも面白そうなのでちょっとだけ沼にはまってみます。
『同意』と書かれた緑色のボタンを押すと、個人情報の入力画面が表示されました。 適当に埋めて『次へ』と書かれたボタンを押してみます。
 パスワードやメールアドレスを入力する画面の後、このようにクレジットカードの情報を入力する画面が
開きました。
 納税するのにどうしてクレジットカードの情報が必要なのか。
それは、詐欺師がそれを欲しいからです!(笑)
まとめ 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
