サイトアイコン HEARTLAND

『詐欺メール』新『e-Tax税務署からの【未払い税金のお知らせ】』と、来た件

よく考えれば国税庁からメールなんて来るはずがない
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

メール本文は中国が色濃く…

いつもご覧くださりありがとうございます!

最近国税庁を騙る詐欺メールが横行しています。
実はこれ、去年のちょうど今頃にも流行っていたものとほぼ同じ内容。
皆さんも忘れかけているかも知れないので戒めのつもりで再度取り上げてみることにしました。
そのメールがこちらです。

何箇所か漢字に違和感がありますね。
意図的なのかどうか知りませんが『税』という漢字も2種類使われていていたりもします。
どうしてこうなるのでしょうか?

私の愛用している『Thunderbird』ではプロパティー領域に黄色い枠付けで
『プライバシー保護のため、このメッセージ内のリモートコンテンツをブロックしました』と
書かれています。
これはどういう意味かというと、まずリモートコンテンツとは、メッセージの無いに組込まれた画像や動画等。
これらは、メッセージを表示する際に無防備にインターネットからダウンロードされます。
これらを受信者が読み込むと、以下の事柄をメッセージの送信者が知る手段になり得るため、ユーザの
プライバシー侵害の懸念があるのです。

  • 読み込んだアプリケーションや使用しているプラットフォームについての大まかな情報。
  • 現在の位置情報。 (IP アドレスによる大まかな情報)
  • あなたのメールアドレスが実際に使用されている (有効である) こと。

これらの情報が意図せず漏洩しないようこのメールアプリでは読み込み時にブロックされています。

なぜ今回ブロックしたままにしているか、それにはわけがあって、このメールの冒頭で見えている
『e-Tax 國稅局電子申報/納稅系統』って部分、実はこれここに表示されるべきバナー(画像)のファイル名。
もう思いっきり中国の言葉でしょ?!

実際にリモートコンテンツのブロックを解除してみます。

この最上段にバナーが現れましたよね。
本文の漢字の使い方とかこのバナーのファイル名とかから中国の方が作られたメールであることは
簡単に想像付きますね。

本文の内容は読んでいただいた通りで、所得税の滞納があり期日までに支払わなければ資産を差し押さえる
と書かれており、その期日が5月の28日、すなわち今日。(^^;)
私のような会社員の所得税は、会社の経理が処理を行うものでを滞納するなんてことがあれば会社の失態。
そんなことあり得ません!

このメールは、滞納している税をネタにリンクへ誘導し、クレジットカードから支払うように促し
クレジットカードの情報を盗み取るのが目的です。

では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきます。

件名は『e-Tax税務署からの【未払い税金のお知らせ】』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『***** <ss-*****@gilt.jp>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

この”*****”とマスクした箇所には、私のメールアドレスの@より前にあるアカウント部分が記載されています。
国の行政機関である国税庁がわざわざ私のアカウント名を使ったメールアドレスを作るはずなんてないので
当然このメールアドレスは実在しないものです。
それに国税庁は国の行政機関ですから、利用されるドメインは必ず”go.jp”となるはずです。

因みにここで使われている”gilt.jp”ってドメインは、米国で人気ブランドの婦人服や雑貨を割引販売する
招待制サイトを運営する『ギルトグループ』が所持するものです。
もちろんギルトグループが日本の国税庁を騙るはずも無いので偽装されていると思われます。
ではその辺り、次項でじっくり調査していくことにいたしましょう!


モスクワ発

では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『Received: from mail.joface.net (unknown [46.17.41.230])』

ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。

おやおや、またここには”joface.net”なんて別のドメインが記載されていますね。
恐らくはこれがこの差出人の本当のドメインなのでしょうね。

末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。

Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは
送信者のデバイスに割当てられたもので偽装することができません。

このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

ではまずは、メールアドレスにあったドメイン”gilt.jp”が差出人本人のものなのかどうかを
調べてみます。

これがドメイン”gilt.jp”の登録情報です。
これによると”54.178.226.116”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIP”46.17.41.230”と同じ数字の羅列になるはずですが、それが全く異なるので
このメールのドメインは”gilt.jp”ではありません。
これでアドレスの偽装は確定です!

では次に”Received”に記載のあった”joface.net”についても同様に調べてみます。

これによるとこのドメインは埼玉在住の方が申請していますが、登録者の電話番号は”+852”から始まるので
香港の地域番号です。
よく見ると『Registrar: Hong Kong Juming Network Technology Co., Ltd.』とあるので
埼玉の方がこの企業にドメインの取得代行を依頼したようです。

割当てているIPアドレスは”46.17.41.230”で”Received”のIPアドレス合致するのでこのドメインが差出人の
本当のメールアドレスに使われているもので間違いなさそうです。

Received”に記載されているIPアドレスは、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。


(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

地図に立てられたピンの位置は、ロシアのモスクワ付近。
そして送信に利用されたプロバイダーもロシアに拠点を置く『Llc Baxet』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー
を介して私に届けられたようです。


詐欺サイトは定番のトロント市庁舎付近に設置

では引き続き本文。

e-Taxをご利用いただきありがとうございます。

あなたの所得稅と滞納金について、これまで自主的に納付されるよう催促してきましたが、まだ納付されておりません。最終期限までに納付がない場合、税法により不動産、自動車などの登記登録財産や給料、売掛金などの值権などの差押処分に着手致します。
納稅確認番号:****4520
滯納金合計:21000円
納付期限: 2024/5/28
最終期限: 2024/5/28(支払期日の延長不可)

お支払いへ⇒

※メール本文をそのままコピペしているので文字化け等はご容赦ください。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『お支払いへ⇒』って書かれたところに付けられていて
コンピュータセキュリティブランドの『Norton』の『Nortonセーフウェブレポート』では
このように判定されていました。

行けませんね、まだ新しいサイトなのでしょうか、評価としては『注意』とされていてそのカテゴリーは
『スパム』とされています。
このままじゃ危険なので早急に評価を変更していただけるように私から変更の申請を行っておきます。

このURLで使われているドメインは”jaece.net
このドメインにまつわる情報を取得してみます。

このドメインも先程のメールの”Received”にあったドメインと同じ人物が同じ企業に依頼して
このドメインを取得しているようです。
割当てているIPアドレスは”172.67.131.93
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

地図に立てられたピンの位置は、詐欺サイト定番のカナダのトロント市庁舎付近。
利用されているホスティングサービスは『Cloudflare』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。


Vプリカしか支払うことができない

Nortonセーフウェブレポート』での危険度評価からすると、リンク先の詐欺サイトは
どこからもブロックされることなく無防備な状態で放置されていると思われます。
そんなサイトに、調査を目的で安全な方法を利用して訪れてみることにします。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

するとメールに書かれていた内容と全く警告文が書かれたページが開きました。

良いのですかね、こんなページ作っちゃって…良くないですよね…(;^_^A

支払い画面に移動してみます。

4つの支払い手段があると見せ掛けて実は電子マネーのVプリカのみ受け付け可とされています。

仕方なくVプリカを選択してみるとこのような説明が表示されました。

確認ボタンを押すとこのようにVプリカのコード入力画面が開きました。

Vプリカとはライフカードが提供するネット決済専用のプリペイドカードでコンビニで購入できる
購入時に発行されるチャージコード(発行コード)を使うとクレジットカードのように利用できます。
そのチャージコードを知っていれば誰でも利用可能となるため詐欺に使われることも多くあります。

もちろんこのサイトは詐欺サイトなので絶対にコード等は入力しないでください!


まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了