『詐欺メール』ETC利用照会サービスから『【重要】電子通信コストの支払いは失敗します』と、来た件

★フィッシング詐欺解体新書★

『電子通信コスト』ってなに？

いつもご覧くださりありがとうございます！

どうやら以前にご紹介した『追加料金を避けるために債務を清算しましょう』という件名の
アダルトハッキングメールが再び大量放出されたようで2022年12月に書いたこちらのエントリーに
アクセスが集中しています。

『詐欺メール』「追加料金を避けるために債務を清算しましょう。」と、来た件

このように詐欺メールなどは流行があるので忘れた頃に再び現れるので注意が必要です！

さて話は変わって、今回ご紹介しようと思うのが『ETC利用照会サービス』さんを騙るこちらのメール。

この『ETC利用照会サービス』とは、過去15か月間のETCカード利用を確認できるサービス。
一般的には企業が利用するもので個人の方はその存在すら知らない場合が多いと思います。
この『ETC利用照会サービス』さんを騙るメールはずいぶん昔から大量に垂れ流しされていますが
そのほとんどが自動解約を騙るものでした。
でも今回は支払いが失敗したのでリンクを辿って支払いを完了させろと言うもの。
でも日本語の文章がおかしいのでこれが本意なのかどうか…
『電子通信コスト』ってETC利用料金のことですよね？(;^_^A
それに『お客様のアカウントにて残念ながら支払いは失敗します』って、なんだか未来のことを
言ってるみたいで違和感しかありません。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきます。

件名は『[spam] 【重要】電子通信コストの支払いは失敗します』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”自動配達ですE̲T̲C̲” <Eighth-ota@shaffer-draw.aramaco.com>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

”shaffer-draw.aramaco.com”ってどこのドメインでしょう？
ETC利用照会サービスさんにはちゃんと”etc-meisai.jp”と言うグループ名を冠した公式なドメインが
存在します。
公式ドメインが有るにも関わらず取れとは全く異なるドメインを使ったメールアドレスなんて
サービス利用者に対して失礼です！

ETC利用照会サービスが中国からね…

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。

末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。

”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは
送信者のデバイスに割当てられたもので偽装することができません。

このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”shaffer-draw.aramaco.com”が差出人本人のものなのかどうかを
『WebAnalysis』さんで調べてみます。

これがドメイン”shaffer-draw.aramaco.com”を割当てているIPアドレスの情報です。
これによると”3.94.41.167”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIP”59.58.149.140”と同じ数字の羅列になるはずですが、それが全く異なるので
このメールのドメインは”shaffer-draw.aramaco.com”ではありません。
これでアドレスの偽装は確定です！

”Received”に記載されているIPアドレス”59.58.149.140”は、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を『IP調査兵団』さんで
確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

代表地点として地図に立てられたピンの位置は、中国福建省ホ田市付近。
あくまで大雑把な代表地点なのをお忘れなく。
そして送信に利用されたプロバイダーは中国の『Chinanet』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー
を介して私に届けられたようです。

まさか『安全』とは！

では引き続き本文。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『▼ 支払いの詳細リンク』って書かれたところに付けられていて、
そのリンク先は、コンピュータセキュリティブランドのトレンドマイクロの
『サイトセーフティーセンター』での危険度はこのように評価されていました。

ええ？(;ﾟДﾟ)
ちょっと、ちょっと、安全って…そ、それでいいの？！
ヤバいんで早急に評価を変更していただけるように私から変更の申請を行っておきます。

この後、意外な展開が！

このURLで使われているドメインは”apturedxassome.rebatesrule.net”
このドメインにまつわる情報を『Grupo』さんで取得してみます。

このドメインはこれ自体はダイナミックドメインとして無料でドメインサービスを利用できる
ChangeIPさんのドメインです。
ということはこのリンク先サイトは、姑息にも無料のドメインを使いうね依しているようです。
割当てているIPアドレスは”43.133.86.50”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を
再び『IP調査兵団』さんで確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

代表地点として地図に立てられたピンの位置は、韓国のソウル付近。
こちらもあくまで大雑把な代表地点でございます。
利用されているホスティングサービスは中国の『Shenzhen Tencent Computer Systems Company Limited』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

トレンドマイクロの『サイトセーフティーセンター』での危険度評価からすると、リンク先の
詐欺サイトは、どこからもブロックされることなく無防備な状態で放置されていると思われます。
そんなサイトに、調査を目的で安全な方法を利用して訪れてみることにします。

接続を試みると直ぐにこのような画面が開き検証が行われました。

あれ？”kuronekoyamato.co.jp”ってヤマト運輸の公式ドメインじゃん！
何かおかしいぞ！！

検証が終わり次のページに自動転送され、クルクルインジケーターが数秒回った後に開いたのは
なんと、なんと、『ヤマト運輸』と記されたこんなページ。

いやいや、ここはETC利用照会サービスの偽サイトじゃないと。。。
面白半分で茶化しているのか、それともヤマト運輸の詐欺メールを流用しリンク修正を失念したのか…
まあどっちにしても騙されたくても騙されられませんってメールでした。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;