『詐欺メール』『配送先住所が見つかりませんでした』と、来た件

★フィッシング詐欺解体新書★

『拝啓』から始まるメール

いつもご覧くださりありがとうございます！
ゴールデンウィーク開けのメールボックスはとんでもないことになっていて、詐欺メールがワンサカ！
それらの処理で一苦労です。(-_-;)
そんな中、このような新種のメールがありましたのでご紹介していくことにします。

我慢できずに色々カラフルにしちゃったんですが、これはヤマト運輸と称する人物から届いた
不在通知のようなものです。
まず最初にこのメール『拝啓』から始まっていますが、いつも書くように今時このようなお堅い書き出しの
メールを送る企業なんてありません。
それに差出人のメールアドレスにもリンクのURLにもどちらにもヤマト運輸さんの公式ドメインが
見当たりません。
更には荷物のことを『貨物』と書いたり、おかしなところに『と』が入っていたりとなんだか日本語も
怪しくないですか？
これって本当にヤマト運輸さんからのメールなのでしょうか…
かなり怪しいですよね？

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきます。

件名は『配送先住所が見つかりませんでした』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
それ以前に、この差出人はどうして私のメールアドレスをご存じなのでしょうか？
確かヤマト運輸の送り状にはメールアドレスを記入する欄なんてなかったと思うのですが…

差出人は
『”ヤマト運輸” <info@sgp-k.jp>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

確かに『ヤマト運輸』と書いてありますが、このメールアドレスにあるドメインは”sgp-k.jp”
ヤマト運輸さんの公式ドメインは”kuronekoyamato.co.jp“で全く異なります。

自前のメールサーバーを利用か？

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。

まず最初に”127.0.0.1”と、localhostのIPアドレスが書かれているのでこの差出人はレンタルサーバー
とかのメールサーバーではなく自前のメールサーバーを利用したようです。

末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。

”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは
送信者のデバイスに割当てられたもので偽装することができません。

このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”sgp-k.jp”が差出人本人のものなのかどうかを
調べてみます。

これがドメイン”sgp-k.jp”の登録情報です。
これによるとこのドメインはヤマト運輸のものではなく『株式会社いえらぶＧＲＯＵＰ』という
不動産業務関連の企業の物。
ヤマト運輸がそんな企業のメールアドレス使うはずありませんよね！
そして”52.199.101.112”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIP”213.183.56.143”と同じ数字の羅列になるはずですが、それが全く異なるので
このメールのドメインは”sgp-k.jp”ではありません。
これでアドレスの偽装は確定です！

”Received”に記載されているIPアドレス”213.183.56.143”は、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

地図に立てられたピンの位置は、ロシアのモスクワ付近。
そして送信に利用されたプロバイダーは、オーストリアに拠点を置く『EDIS GmbH』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー
を介して私に届けられたようです。

リンク先はカナダの輸入業者のサイト

では引き続き本文。

拝啓　お客様 , ヤマト運輸 は、お客様の貨物がまだお客様からの指示待ちであることをお知らせします。 次のボタンをクリックして、とパッケージの発送を確認します。 JMS EuroCanada Le spécialiste de l'importation asiatique et européenne. Produits de céramique, plomberie, salle de bain et meubles de j... jmseurocanada.com

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクはで使われているドメインはヤマト運輸のものではなく”jmseurocanada.com”
調べてみるとこのドメインは、カナダ モントリオールの『JMS EuroCanada』と言う輸入業者のものでした。

と、いうことは、このリンク先は詐欺サイトではなくこの輸入業者のページ。
どうやらこのメールは、詐欺メールではなく面白半分で送信された迷惑メールの類でした。
全く人騒がせな野郎です！

まとめ

でも恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;