サイトアイコン HEARTLAND

『詐欺メール』『【SMBC】三井住友カードセキュリティチェック:お客様のご協力を』と、来た件

『三井住友カードセキュリティチェック』に注意!
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

宛名とアルファベットに注目!

いつもご覧くださりありがとうございます!

なんか以前にもご紹介したことのあるような文面ですが、件名が新たなものなのと以前の紹介から
かなり時間も経つので改めてやっていこうと思います!
今回のメールがこちらです。

あら、誰かが私のカードを不正利用したのかしら?
本人確認がしたいってメールが届いたわ。
電話したって書いてあるけど着歴にも残っていないのでおかしいわね?
カードの利用も制限されているみたいだからこれは急いで本人確認をしないと…

確かに差出人のメールアドレスのドメイン(@より後ろ)は三井住友カードの
ものになってるね。
でもかあさん、三井住友カードから届くメールって宛名は確かユーザーIDで
メールアドレスじゃなかった気がするよ。
それになんだかこのメール、フォントに違和感があるよね?
冒頭の書き出しにあるの『SMBCCARD』って文字も全角アルファベットだし
そう言えば以前、このブログの管理人Heartlandさんも詐欺メールの特徴の一つに
全角アルファベットがあるって書いてたよ。

そうなんです!
三井住友カードから届くメールにある宛名は登録したアカウント名でメールアドレスではありません。
それに詐欺メールの特徴として半角アルファベットと全角アルファベットが混在するんです。
その証拠に三井住友カードからなんて電話もかかっていないし着歴も無いですよね。
と言う訳でこのメールは三井住友カードになりすましクレジットカードの情報を盗み出そうとする
所謂フィッシング詐欺メールに類するメールです。

では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきます。

件名は『[spam] 【SMBC】三井住友カードセキュリティチェック:お客様のご協力を』

ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”【Support-S M B C】” <mail@contact.vpass.ne.jp>』

皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
vpass.ne.jp”は確かに三井住友カードさんのドメインですが
件名の”[spam]”が示す通り悪意のあるメールです。


差出人の本当のメールアドレスは?!

では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『Received: from mail.eqaapgu.cn (unknown [42.240.132.223])』

ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。

よくご覧ください。
ここの中にはまた別の”eqaapgu.cn”なんて新しいドメインが記載されていますよね。
この”.cn”と言うドメインは中国に与えられた国別ドメインなのです。
恐らくこの差出人の本当のドメインはこの中国のドメインで”vpass.ne.jp”では
無さそうですよ。
ではその辺りに注目し詳しく調べることにします。

末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。

Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは
送信者のデバイスに割当てられたもので偽装することができません。

このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”vpass.ne.jp”が差出人本人のものなのかどうかを
』さんで調べてみます。

※”vpass.ne.jp”だけでは正確なIPアドレスを取得できなかったので、前に”mail.”を付加して
検索しています。

これがドメイン”mail.vpass.ne.jp”を割当てているIPアドレスの情報です。
これによると”203.191.234.123”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIP”42.240.132.223”と同じ数字の羅列になるはずですが
それが全く異なるのでこのメールのドメインは”mail.vpass.ne.jp”ではありません。
これでアドレスの偽装は確定です!

では今度は”eqaapgu.cn”についても『Grupo』でドメイン情報を含め調べてみます。

今度は”Received”のIP”42.240.132.223”と合致しましたね!
これでこの差出人の本当のメールドメインは”eqaapgu.cn”と言う
中国のドメインであることが判明。
それにこのドメイン情報からこのドメインは中国人っぽいお名前の方が
申請及び取得しているようですよ。

じゃこのメール、何処から発信されたものなのでしょう?
Received”に記載されているIPアドレスは、差出人が利用したデバイスの情報で、これを紐解けば
差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を『IP調査兵団』さんで
確認してみます。


(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

代表地点として地図に立てられたピンの位置は、中国北京にある天安門広場東側。
あくまで大雑把な代表地点なのをお忘れなく。
そして送信に利用されたプロバイダーも中国に拠点を置く『Ucloud』

このメールは、この付近に設置されたデバイスから発信され
『Ucloud』のメールサーバーを介して私に届けられたようです。


詐欺サイトは無防備に放置されています!

では引き続き本文。

平素は三井住友カードをご利用いただき、誠にありがとうございます。

このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、サービスのご利用を一部制限させていただき、お客様のアカウントのに登録された電話番号にご連絡いたしましたが、お客様に連絡を取ることができませんでした。そのため、ご登録されているメールアドレスにてご連絡させていただきました。

ご回答をいただけない場合、サービスのご利用制限が継続されることもございますので、予めご了承下さい。

ご本人様の確認はこちらへ

※回答が完了しますと、通常どおりログイン後のお手続きが可能になります。

※一定期間ご確認いただけない場合、口座取引を制限させていただきます。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『ご本人様の確認はこちらへ』って書かれたところに付けられています。
そのリンク先はトレンドマイクロの『サイトセーフティーセンター』でも
Googleの『透明性レポート』でも『Nortonセーフウェブレポート』でも今のところは
危険とは判断されていませんでした。

このままではとても危険なので、早急に評価を変更していただけるように私から変更の申請を行っておきます。

このURLで使われているドメインは”sports-tycoon.com”と、もうこの時点では三井住友カードなんて
どーでも良くなってきていますね。(笑)
このドメインにまつわる情報を『Grupo』さんで取得してみます。

このドメインはどうやら『お名前.com』さんで取得されたようですね。
割当てているIPアドレスは”172.67.155.164
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を
再び『IP調査兵団』さんで確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

代表地点として地図に立てられたピンの位置は、カナダのトロント市庁舎付近。
こちらもあくまで大雑把な代表地点でございます。

この辺りに設置された『Cloudflare』のウェブサーバーに
リンク先の詐欺サイトは構築されているようです。
経験上この辺りにはたくさんの詐欺サイトが存在しています。

トレンドマイクロの『サイトセーフティーセンター』での危険度評価からすると、リンク先の
詐欺サイトは、どこからもブロックされることなく無防備な状態で放置されていると思われます。
そんなサイトに、調査を目的で安全な方法を利用して訪れてみることにします。

案の定、あっさりと開いてしまったのはこのような本物そっくりのログインページ。

新着情報が3月の物になっているので、少し前に作られたようですね。
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。


まとめ

差出人のメールアドレスが公式なドメインだからと言って鵜呑みにしてはいけません。
見てくれはいくらだって偽装できますからね!
大切なことは、メールにあるリンクは使わないこと。
ご心配なら各カード会社から出されているスマホアプリやネット検索して出てきた
公式サイトからログインしてご確認するように心掛けてください。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


モバイルバージョンを終了