不可解な2通のメール
いつもご覧いただきありがとうございます!
週明け月曜の朝、すがすがしい春の日差しが降り注ぐ一週間の始まりです。
そんな中、世界的な郵便・物流グループの『DHL』から不可解な2通のメールが届きました。
件名が異なるのに中身が全く同じってどう思います?これおかしいですよね?(;^_^A
ご存知かもしれませんが、この『DHL』は、ドイツに拠点を置いている国際宅配サービス。
そんなところから私にメールが来ること自体おかしな話です。
もうお察しのことだとは思いますが、このメールは私から何らかの情報を聞き出そうとする
フィッシング詐欺メール。
では上段の『通関手続きが必要です』って方をチョイスしその全貌をじっくり観察してみることにします。
まずはプロパティーから見ていきます。
件名は『[spam] 通関手続きが必要です: DHL出荷アラート』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
差出人は
『"DHL EXPRESS" <message-system-express@shipping.com>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
ここからはいつものくだり。(笑)
DHLのオフィシャルサイトでURLを確認すれば簡単に分かりますがDHLの公式ドメインは”dhl.com”
百歩譲っても”shipping.com”なんてドメインではありません。
因みに『shipping』は日本語に訳すと『配送』
こんな価値の高そうなドメインを詐欺に使うはずがないのでこのメールアドレスは偽装っぽいです。
その辺りは次の項で詳しく見ていくことにしましょう!
やっぱり偽装で発信地はドイツ
では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。
| Received:『Received: from shipping.com (unknown [82.165.187.77])』 |
ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。
”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは
送信者のデバイスに割当てられたもので偽装することができません。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する
では、メールアドレスにあったドメイン”shipping.com”が差出人本人のものなのかどうかを
調べてみます。
これがドメイン”shipping.com”を割当てているIPアドレスの情報です。
これによると”162.241.217.123”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIP”82.165.187.77”と同じ数字の羅列になるはずですが、それが全く異なるので
このメールのドメインは”shipping.com”ではありません。
これでアドレスの偽装は確定です!
”Received”に記載されているIPアドレス”82.165.187.77”は、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)
地図に立てられたピンの位置は、ドイツのフランクフルト・アム・マイン付近。
そして送信に利用されたプロバイダーもドイツのモンタバウアーに拠点を置く『Ionos Se』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー
を介して私に届けられたようです。
詐欺サイトはタイ王国に?!
では引き続き本文。
お客様へ
保留中の出荷についてお知らせいたします。 この貨物には通関手続きが必要です、 そして、それに伴う料金が発生する。
$1.99の税金は、当社のウェブサイトを訪問し、提供された手順に従ってオンラインでお支払いいただけます。
情報を更新
重要なお知らせ: 配達の試みが不成功である場合、出荷は送り主に返送されます。
よろしくお願い申し上げます。
DHL EXPRESS チーム |
このメールのポイントは、通関手続きに伴う料金が発生するってところ。
この差出人はこれをネタに詐欺サイトへ誘導し、私からクレジットカードの情報を抜き出すことが目的!
その詐欺サイトへのリンクは『情報を更新』って書かれたところに付けられていて、
そのリンク先は、コンピュータセキュリティブランドのトレンドマイクロの
『サイトセーフティーセンター』での危険度はこのように評価されていました。
既に『フィッシングサイト』としてしっかりブラックリストに登録済みですね。
それ以外にも違法なコンテンツも発信しているようです。
このURLで使われているドメインは”nangrong.ac.th”とタイ王国に割り当てられているドメインが
使われていますね。
確かDHLはドイツの企業でしたよね?
このドメインにまつわる情報を取得してみます。
ん~、このドメインはタイにある『ナーンローン校』という学校の持ち物ですね。
この内部の人間の仕業なのか、それとも何らかの手段で詐欺師に乗っ取られたのか…
このドメインを割り当てているIPアドレスは”43.241.58.180”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)
おっと!
ここでもすでに危険なサイトとして認識されているようで、Webでもサイバー遭アタックの攻撃元と
書かれています。
地図に立てられたピンの位置もタイですね。
利用されているホスティングサービスは『dragonhispeed』で、こちらもどうやらタイに拠点があるようです。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。
危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。
DHLにそっくりのページが開きました。
『配達再開』ってボタンを押してみます。
すると個人情報を入力する画面が開きました。
適当に入力して次に進むと…
ほらね!
きっちりカード情報を入力させられます。
支払いがカードしか選べないってのも不思議ですけど、奴らはそれを欲しているので仕方りません。
まとめ
同じような詐欺が佐川急便でも再配達料金をネタにしたものがよくありますよね?
まあ、DHLが私のメールアドレスなんて知っているはずがないので、このようなメールが届くことなんて
絶対にありませんからね!
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |
