『MyEtherWallet』を騙る詐欺メールか? いつもご覧くださりありがとうございます! 詐欺メールって、流行り廃りなんて言う流行があって、ばぁ~っと同じものが大量に流されたり 大量に流れていたものがパタリと止まったりします。 特に最近は『お荷物お届けのお知らせ【受け取りの日時や場所をご指定ください】』という件名の ヤマト運輸になりすますものや、『不正利用からアカウントを保護するために追加情報が必要』という件名の 三井住友カードを騙ったものが大変多く流されています。 時々届くEthereumウォレット関連や暗号通貨に関連するメールも規模はかなり少ないものの先週末から 多く見られるようになっています。 このメールもそういう中の1つで、暗号通貨の『あ』の字も知らない私宛にも複数通届いています。 ![](data:image/svg+xml;base64,PHN2ZyBoZWlnaHQ9IjEwMDkiIHdpZHRoPSI3MDAiIHhtbG5zPSJodHRwOi8vd3d3LnczLm9yZy8yMDAwL3N2ZyIgdmVyc2lvbj0iMS4xIi8+) 『MyEtherWallet』ってところからなんだか難しいカタカナばかり書かれている 意味不明なメールがきたんだけど。 私、暗号通貨なんてやってないから来るはずないし… こりゃ所謂フィッシング詐欺メールってヤツだろうか? でもね、お父さん。 差出人のメールアドレス間違って無さそうよ。 私に隠れて資産運用とかしてるんじゃないの? 自分で書いてて笑えてくる…(笑) そうなんです、確かに差出人のメールアドレスはそれっぽいものが使われていますが このメールはどこかで手に入れた漏洩メールアドレスリスト宛に送られてくる フィッシング詐欺メールの類で、お母さんの言うような内緒の資産運用ではありませんよ!(笑) では、このメールを解体し詳しく見ていきましょう! まずはプロパティーから見ていきます。 件名は『[spam] 【重要なお知らせ】MyEtherWallet(マイイーサウォレット)ご利用確認のお願い』 ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は 『”MyEtherWallet” <web-reply@myetherwallet.com>』 皆さんはご存じでしょうか? この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。 ですから、ここは信用できない部分です。 『MyEtherWallet』のオフィシャルサイトで確認しましたが”myetherwallet.com”は 間違いなく『MyEtherWallet』さんの物です。 でも受信したメールサーバーが判断しているようにこのメールはスパム故に偽装されています。 その辺り、次の項でしっかり見ていくことにします。 発信元は中国の南京市付近 では、このメールが悪意のあるメールであることを立証していきましょうか! まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。 私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。 ほらね! ”ikwswev.org”なんてMyEtherWalletの物とは異なるドメインが 記載されていますよ! 本来ならここにも”myetherwallet.com”が記載されるはずなんだけどね… 末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で 同じ数字の集まりは世界中に1つしかありません。 因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした ものがドメインと呼ばれるものです。 ”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは 送信者のデバイスに割当てられたもので偽装することができません。 このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法 違反となり処罰の対象とされます。 ※特定電子メール法違反 ・個人の場合、1年以下の懲役または100万円以下の罰金 ・法人の場合、行為者を罰する では、メールアドレスにあったドメイン”myetherwallet.com”が差出人本人のものなのかどうかを 『Grupo』さんで調べてみます。 ![](data:image/svg+xml;base64,PHN2ZyBoZWlnaHQ9IjMwOCIgd2lkdGg9IjcwMCIgeG1sbnM9Imh0dHA6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB2ZXJzaW9uPSIxLjEiLz4=) これがドメイン”myetherwallet.com”の登録情報です。 これによると”104.18.18.23”がこのドメインを割当てているIPアドレス。 本来このIPは”Received”のIP”121.230.254.202”と同じ数字の羅列になるはずですが、それが全く異なるので このメールのドメインは”myetherwallet.com”ではありません。 これでアドレスの偽装は確定です! ”Received”に記載されているIPアドレス”121.230.254.202”は、差出人が利用したメールサーバーの情報で これを紐解けば差出人の素性が見えてきます。 このIPアドレスを元に送信に使われた回線情報とその割り当て地を『IP調査兵団』さんで 確認してみます。 ![](data:image/svg+xml;base64,PHN2ZyBoZWlnaHQ9IjQ4NyIgd2lkdGg9IjcwMCIgeG1sbnM9Imh0dHA6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB2ZXJzaW9uPSIxLjEiLz4=) (※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 代表地点として地図に立てられたピンの位置は、中国の南京市付近。 あくまで大雑把な代表地点なのをお忘れなく。 そして送信に利用されたプロバイダーも中国に拠点を置く『Chinanet』です。 これらの結果からこのメールは、この付近に設置されたデバイスから発信され このプロバイダーのメールサーバーを介して私に届けられたようですね。 意味不明なアルファベットや数字が?! 本文を検証する前にこちらをご覧ください。 ![](data:image/svg+xml;base64,PHN2ZyBoZWlnaHQ9IjEyMzMiIHdpZHRoPSI2OTEiIHhtbG5zPSJodHRwOi8vd3d3LnczLm9yZy8yMDAwL3N2ZyIgdmVyc2lvbj0iMS4xIi8+) これはHTML形式で届いた故意のメールの本文をTEXT形式に表示を切り替えたものです。 ヘッダーとフッター部分に何やら意味不明なアルファベットや数字が不規則に並べられていますね。 これは何なのでしょうか? これは『ワードサラダ』ですね。 このような意味不明な文字や記号を不規則に並べることで 受信サーバーに設置された詐欺メールを振り分けるスパムフィルターを 混乱させ受信者にこのメールを到達させるのが目的です。 では本文です。 このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。 そのリンクはMyEtherWalletの公式ドメインを利用したURLが直書きされていますが、 このURLとは裏腹に実際のリンクは全然異なるURLに接続されるよう偽装されています。 そのリンク先をコンピュータセキュリティブランドの『Norton』の『Nortonセーフウェブレポート』で 検索してみるとこのように判定されていました。 ![](data:image/svg+xml;base64,PHN2ZyBoZWlnaHQ9IjM2MyIgd2lkdGg9IjcwMCIgeG1sbnM9Imh0dHA6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB2ZXJzaW9uPSIxLjEiLz4=) 先程のワードサラダの影響もあってか あまり深刻には受け止められていないような感じですね。 このURLで使われているドメインは”myetherwalletih.com” 本物が”myetherwallet.com”ですから少し異なるようです。 このように本物そっくりのURLをホモグラフ攻撃と言い 詐欺サイトのURLに多く見られます。 このドメインにまつわる情報を『Grupo』さんで取得してみます。 ![](data:image/svg+xml;base64,PHN2ZyBoZWlnaHQ9IjcwOCIgd2lkdGg9IjcwMCIgeG1sbnM9Imh0dHA6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB2ZXJzaW9uPSIxLjEiLz4=) このドメインは『See PrivacyGuardian.org』というアメリカのレジストラに依頼して取得されています。 このレジストラはドメイン申請者の個人情報をマスクすることで知られ サイバー犯罪の温床となるとして問題視されています。 割当てているIPアドレスは”23.224.100.235” このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を 再び『IP調査兵団』さんで確認してみます。 ![](data:image/svg+xml;base64,PHN2ZyBoZWlnaHQ9IjQ4OSIgd2lkdGg9IjcwMCIgeG1sbnM9Imh0dHA6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB2ZXJzaW9uPSIxLjEiLz4=) (※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 代表地点として地図に立てられたピンの位置は、ロサンゼルス付近。 こちらもあくまで大雑把な代表地点でございます。 利用されているホスティングサービスもアメリカに拠点を置く 『Cnservers LLC』で、あまり良い噂は聞きません。 この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは 構築されているようです。 『Nortonセーフウェブレポート』での危険度評価からすると、リンク先の詐欺サイトは どこからもブロックされることなく無防備な状態で放置されていると思われます。 そんなサイトに、調査を目的で安全な方法を利用して訪れてみることにします。 ![](data:image/svg+xml;base64,PHN2ZyBoZWlnaHQ9IjUyNSIgd2lkdGg9IjcwMCIgeG1sbnM9Imh0dHA6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB2ZXJzaW9uPSIxLjEiLz4=) 本物そっくりのログインページが開きました。 ログインしてしまうと、そのログイン情報が詐欺師に流れてしまいます。 そして次に開いたページで個人情報を更新させると称しそれらの情報や 更にはカードの情報まで詐取されることでしょう。 まとめ 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの フィッシング詐欺サイトが作られ消滅していきます。 次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |