律儀だろうが丁寧だろうがへりくだろうが詐欺メールは詐欺メール いつもご覧くださりありがとうございます! 今回はJCBを騙る詐欺メールのご紹介となります。 そのメールがこちら。 拝啓から敬具で終わる律儀なメールですが、律儀だろうが丁寧だろうがへりくだろうが 詐欺メールは詐欺メール、しっかりと見極めることが必要です。 では、最近流行りの寸劇から見ていただきます。 JCBからメールが来たわ。 なになに、モニタリングでセキュリティ上の 懸念が生じてカード利用が制限されてるって? 困ったわ、不正利用でも起きたら大変💦 急いで手続きしないと! 拝啓に敬具だって。 ずいぶん丁寧なメールだね。 あまりに丁寧すぎてなんだかちょっと気になるんだけど。 これ本当にJCBからなんだろうか? 言われてみれば確かに馬鹿丁寧よねぇ… でも本当だったらカードが使えないから問題よ! 本物かどうか今回もHeartさん判断お願いします。🥺 ふむふむ、MyJCBが差出人になってるね。 確かMyJCBはJCBカードユーザー専用のウェブサイト。 でもMyJCBの公式ドメインは”my.jcb.co.jp”ですよ。 それなのに差出人のメールアドレスには”7ugvctc8lp.com”と 書かれているよね。 金融機関が利用者に対して自社のドメインじゃないメールで 通知を送るなんて到底考えられないからこれは偽物ですね。 では、このメールを解体し詳しく見ていきましょう! まずはプロパティーから見ていきます。 件名は『[spam] JCBカードが制限されている旨のお知らせ』 ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は『”MyJCB” <myjcb-service@7ugvctc8lp.com>』 皆さんはご存じでしょうか? この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。 ですから、ここは信用できない部分です。 ここに記載のドメイン(@より後ろ)が差出人のものと異なる場合は100%偽物です。 不審なメールが届いたらまずここを確認することをお勧めいたします。 JCBが香港からね… では、このメールが悪意のあるメールであることを立証していきましょうか! まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。 私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。 末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で同じ数字の集まりは世界中に1つしかありません。 因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くしたものがドメインと呼ばれるものです。 ”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは送信者のデバイスに割当てられたもので偽装することができません。 では、メールアドレスにあったドメイン”mail5.7ugvctc8lp.com”が差出人本人のものなのかどうかを『Grupo』さんで調べてみます。 これがドメイン”mail5.7ugvctc8lp.com”の登録情報です。 これによると”45.142.152.184”がこのドメインを割当てているIPアドレス。 もちろんこのメールの差出人は偽物ですが”Received”のIPアドレスと全く同じ数字なので このメールアドレスは差出人ご本人さんのもので間違いなさそうです。 ”Received”に記載されているIPアドレスは、差出人が利用したメールサーバーの情報で これを紐解けば差出人の素性が見えてきます。 このIPアドレスを元に送信に使われた回線情報とその割り当て地を『IP調査兵団』さんで 確認してみます。 (※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 代表地点として地図に立てられたピンの位置は、香港の旺角(おうかく)付近。 あくまで大雑把な代表地点なのをお忘れなく。 そして送信に利用されたプロバイダーは『IP Transit』 このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー を介して届けられたようです。 お得な『ワードサラダ』付き では引き続き本文。 まずはこの画像をご覧ください。 これは先ほどのHTMLで書かれていたメールの表示状態をテキスト表示に切り替えたもの。 ここには、HTMLでは表示されていなかった内容が炙り出しのように浮かび上がっています。 これはサーバーの迷惑メールを仕分けするために設置されるスパムフィルターを混乱させようとするために施された『ワードサラダ』です。 でもうちのサーバーはしっかり見切って件名の見出しに[spam]と付加しています。 では本文。 このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。 そのリンクは『ご利用確認はこちら』って書かれたところに付けられていて、 そのリンク先をコンピュータセキュリティブランドのトレンドマイクロの『サイトセーフティーセンター』で検索するとその危険度はこのように評価されていました。 ん~、なぜこのような評価なのでしょうね? と思ってこのリンクに接続してみると開いたのはエラーページ。 それでこのような評価なんですね。 既に閉鎖されているのでこれ以上深追いしてもしょうがないので今回はこの辺りで 止めておきます。 まとめ 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの フィッシング詐欺サイトが作られ消滅していきます。 次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |