『詐欺メール』新『日本郵政株式会社：確認が必要』と、来た件

★フィッシング詐欺解体新書★

全く意味不明

いつもご覧いただきありがとうございます！

ゴールデンウィークの前半が終わりデスクに戻ると例によってメールボックスがえらいことに(;^_^A
その中から今回は特に目に付いたものを取り上げてご紹介しようと思います。

そのメールと言うのがこちらです。

この件名のメールは、ひとつ前にご紹介したメールのものと全く同じ。
でも中身は全く異なるもので、今回は日本語もままならない幼稚で何が言いたいのかよく分からない
メールとなっています。

冒頭から『ここにあります』とか『日本郵便株式会社が「今回はお世話になりました」を使用しました』って
意味わかる方いらっしゃいますでしょうか？
もし居らっしゃればコメントいただけるとありがたいです。(笑)

その先を読み進めていくと更に意味不明なことばかりで何が目的なのかさっぱり分かりません…
もちろんこのメールはフィッシング詐欺メールなのですが、こんなメールで誰が騙せるのでしょう？

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきます。

件名は『[spam] 日本郵政株式会社：確認が必要』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

あっ、ちょっと待ってここには『日本郵政』とありますが、本文には『日本郵便』と書いてあります。
あれれ？どっちが本当なのでしょうね？？
確か『日本郵便』は『日本郵政』の持ち株会社（親会社）です。
もしかしてこの差出人さん混同していません？？

差出人は
『vlwpkgy <japanposti@11206.net>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

先日も書きましたが、日本郵便のオフィシャルサイトでURLを確認すると、日本郵便の
公式ドメインは”japanpost.jp”で”11206.net”なんて全く郵政を連想できないものではありません。

日本郵便がゼレノグラードに拠点を置くリスキーなプロバイダーを利用？

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。

末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。

”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは
送信者のデバイスに割当てられたもので偽装することができません。

では、メールアドレスにあったドメイン”11206.net”が実在するのか、更には差出人本人のものなのかどうかを
調べてみます。

これがドメイン”11206.net”の登録情報です。
これによるとこのドメインは香港の方が取得申請されたようで”46.17.46.210”がこのドメインを
割当てているIPアドレス。

もちろんこのメールは日本郵政からではありませんが”Received”のIPアドレスと全く同じ数字なので
このメールアドレスはご本人さんのもので間違いなさそうです。

”Received”に記載されているIPアドレスは、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

地図に立てられたピンの位置は、ロシアの首都・モスクワの郊外にあるゼレノグラード付近。
そして送信に利用されたプロバイダーもゼレノグラードに拠点を置く『Llc Baxet』で
この『Llc Baxet』はリスクの非常に高いプロバイダーとして世間に広く知られています。
日本郵便がゼレノグラードからゼレノグラードに拠点を置くリスキーなプロバイダーを利用するなんて
考えられませんよね。

対応するIPアドレスがありません

では引き続き本文。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『確認する』って書かれたところに付けられていて、
そのリンク先は、コンピュータセキュリティブランドのトレンドマイクロの
『サイトセーフティーセンター』での危険度はこのように評価されていました。

既に『フィッシングサイト』としてしっかりブラックリストに登録済みですね。
それ以外にも何やら悪事を企んでいるようです。

このURLで使われているドメインは”sglyc.cc”
このドメインにまつわる情報を取得してみます。

IPアドレスが出やすいように”www.”を接頭語として付加しましたが
それでも『対応するIPアドレスがありません』と表示されています。
と言う訳でこのドメインは現在利用できないものとなっており、リンク先も当然機能していません。

詐欺サイトは閉鎖しているだけでなくドメインまで使えない状態なので復活することはないのでは
と考えます。

まとめ

ここ最近ちょくちょく日本郵便を騙るメールが散見されるので、意図しない日本郵便からのメールには
くれぐれもご注意ください。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;