バナーのファイル名がなぜか『Aeon』 いつもご覧くださりありがとうございます!
このところずっと『未払いの電気料金についてご連絡させていただくものです』という件名で
東京電力(以降東電)を騙る詐欺メールが私のところに日に数十通届いています。
もうこのようなメールは、詐欺メールでも何物でもなく単なる迷惑メールですよね。
今朝は、件名を若干変えてこのようなメールも届いていますので早速ご紹介していこうと
思います。
 例によって色々書き込んじゃっていますが、寸劇を使って確認していくことにしましょう。
ではどうぞ~ 何だって、電気料金が未払いだそうだ。
例によってこれまたきっと東電になりすます
フィッシング詐欺メールだな。。。
めんどくさ… ちょっともういい加減にしてほしいわ。
1日に何通送ってきてると思うの?!
その度にメールチェッカーのアラームが鳴るから
うるさくて仕方ないわ! そうだよな、でもこればっかりは我々には
耐える以外にどうしようもないんだよなぁ…
Heartさん、何とかならんものですかな? そうですね、今の技術じゃこればっかりは何とも。
私たちができることは自衛することしかできません。
如何に詐欺メールだと見破るか、その手立てを知ることですね!
ではこのメールも詳しく調べていくことにしましょう。 下の図は、メールソフトがこのメールの送信者に識別されないよう、画像がブロック
している状態です。
なので先程のメールの署名部にあるバナー画像が表示されずファイル名だけの状態です。
 よく見るとこの画像のファイル名が『Aeon』になっているのが分かりますよね。
どうして東電のバナーがAeonなのでしょうね?
恐らくこの差出人はAeonの詐欺メールにも加担しており、面倒だからどのバナーの
ファイル名もどれもAeonって名前にしているのでしょう。 件名は『[spam] 【重要なお知らせ】電気料金支払い遅延についての再通知』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は『”東京電力エナジーパートナー” <Luciana-*****@creema.jp>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
”*****”部分には受信したメールアドレスのアカウントがはめ込まれていました。 使われているドメインが明らかに東電の物とは異なる”creema.jp”
このドメイン調べるとクラフト作品の通販業務を行っている『クリーマ』さんって
企業のものだと分かりました。
このドメインでオフィシャルサイトも運営なさっています。
もちろんそのような企業が東電の詐欺メールを送るはずが無いので偽装されている
と思われます。
その辺りは次のセクションで詳しく調べることにします。
東電が中国から中国のプロバイダーを利用してメールを送る?! では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。 末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くしたものがドメインと呼ばれるものです。 ”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレは送信者のデバイスに割当てられたもので偽装することができません。 このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。 ※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する では、メールアドレスにあったドメイン”creema.jp”が差出人本人のものなのかどうかを
『WebAnalysis』さんで調べてみます。
 これがドメイン”creema.jp”を割当てているIPアドレスの情報です。
これによると”54.199.55.31”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIP”175.153.11.7”と同じ数字の羅列になるはずですが、それが全く異なるのでこのメールのドメインは”creema.jp”ではありません。
これでアドレスの偽装は確定です! ”Received”に記載されているIPアドレスは、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を『IP調査兵団』さんで
確認してみます。
 (※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 代表地点として地図に立てられたピンの位置は、中国の成都市付近。
あくまで大雑把な代表地点なのをお忘れなく。
そして送信に利用されたプロバイダーも中国の『China Unicom Sichuan Province Network』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー
を介して届けられたようでが、はたして東電が中国から中国のプロバイダーを利用して
利用者宛にメールなんて送るでしょうかね?(笑)
何重にもブロックされるリンク先! では引き続き本文。 このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『支払いの詳細リンク』って書かれたところに付けられていて、
そのリンク先をコンピュータセキュリティブランドのトレンドマイクロの『サイトセーフティーセンター』で検索するとその危険度はこのように評価されていました。
 既に『フィッシングサイト』としてしっかりブラックリストに登録済みですね。 このURLで使われているドメインは”chxhuwzoztrcmtwappswhgpb.aiwashijie.cn”
と、イオンとは全く関連性の無い中国の国別ドメインを使ったもの。
このドメインにまつわる情報を『Grupo』さんで取得してみます。
 持ち主の氏名からすると恐らく中国人の方が取得されています。
登録に使われているメールアドレスは、ドメイン部分が”qq.com”
これは中国音メッセンジャーアプリ『テンセントQQ』を持っていれば無料で宛てられる
フリーメールアドレスです。 このドメインを割当てているIPアドレスは”104.21.70.192”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を
再び『IP調査兵団』さんで確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 代表地点として地図に立てられたピンの位置は、詐欺サイトのトレンドであるカナダのトロント市庁舎付近。
こちらもあくまで大雑把な代表地点でございます。
利用されているホスティングサービスは米国の『Cloudflare』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。
すると真っ先にChromeのアドオンで入れてある『AdGuard』が接続をとがめてきました。
 調査のためブロックされたサイトに無理やり進んでみます。 すると今度はウイルスバスターが反応を示しサイトをブロックしてきました。
 相当危険な模様ですね。 ブロックされると余計に見たくなり、さらに進んでみるとまっ白なページに『Not Found』と書かれたページが開きました。
これだけブロックされるということは、このサイトを開いているレンタルサーバー側が危険なサイトだと気づきサイトを閉鎖させてものと思われます。
取敢えずは安心ですが、東電の詐欺メールは大量に送られてくるので、また別のサーバーで同じサイトを立ち上げた上で詐欺メールを再び送ってくるでしょうね。
まとめ 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;
| 
