『詐欺メール』日本国際緊急援助委員会から『【義援金受付】2024年南海トラフ地震災害義援金について』と、来た件

heart

3か月前

地震に便乗した義援金詐欺メール

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

使いまわし？能登なの？南海トラフなの？

いつもご覧いただきありがとうございます！

やっぱりきましたわ。
それにしても早かったですね、一昨日の今日ですからね。
そう、九州地方で発生した先日の南海トラフに関連する大きな地震に対する義援金募集。
件名にははっきりと『南海トラフ地震災害義援金』と記載されています。
まずはこの地震による被災者の皆様には、心よりお見舞い申し上げます。
ほんと人の弱みに付け込んだというか、人の善意を踏みにじるような詐欺で絶対に許せません！
そのメールがこちらです。

『このメッセージは迷惑メールだと思われます。』と書いてあるから詐欺メールだと断定。
それだけじゃ能がないんで私なりに考察していきます。

いわゆるこれは『便乗詐欺』という分類の物ですが…ん？
っと、その前に、ちょっと待った、ちょっと待った！
なになに、一行目からおかしいぞ！

令和6年能登半島地震災害義援金の受付を行います。【受付期間】2024年4月30日（火）まで

ありゃま。。。
この義援金って、先日の九州で起きた地震じゃなかった？
2024年4月30日ってもう既に通り過ぎた過去の日付…
そりゃそうだよな、能登半島地震ならこの日付もうなづけますが。
もしかして詐欺メールを使いまわしてる？
冒頭からめちゃめちゃですな…

更には、申し込みは『クレジットカード決済によるオンライン募金』とあるのに、末尾に署名のように振込口座が記載されているじゃん…
もうこんなの絶対に信じられませんよね！

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきます。

まず、差出人について。
『日本国際緊急援助委員会 <support@service.popvzz.cn>』
”日本”と名乗っておきながらの”.cn”はご承知の通り中国に与えられた国別ドメイン。
もしかして中国の心の広いお方が主宰されているとか？…(ヾﾉ･∀･`)ﾅｲﾅｲ
ちなみに『日本国際緊急援助委員会』をググりましたが、それらしい団体はどこを探しても見つけられませんでした。

次に件名について。
件名は『【義援金受付】2024年南海トラフ地震災害義援金について』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
まあ信じようが信じまいがあなたの自由ですが…

メールアドレスは本人のものだけど…

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『from service.popvzz.cn (unknown [83.229.35.115])』

ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。

末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くしたものがドメインと呼ばれるものです。

”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは送信者のデバイスに割当てられたもので偽装することができません。

では、メールアドレスにあったドメイン”service.popvzz.cn”が差出人本人のものなのかどうかを『Grupo』さんで調べてみます。

これがドメイン”service.popvzz.cn”の登録情報です。
登録者名は中国系の方のお名前が記載されています。
これによると”83.229.35.115”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと全く同じ数字なのでこのメールアドレスは差出人ご本人さんのもので間違いなさそうです。
ただし『アサダケント』さんの物かどうかはわかりませんが…

”Received”に記載されているIPアドレスは、差出人が利用したメールサーバーの情報でこれを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を『IP調査兵団』さんで確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

代表地点として地図に立てられたピンの位置は、米国のダラス付近。
あくまで大雑把な代表地点ですが、どうして日本じゃないのでしょう？
ますます怪しくなってきました！
そして更に送信に利用されたプロバイダーは『Kamatera, Inc.』で、ここはイスラエルに本社を置くクラウドサービスプロバイダーです。

まとめ

ん～、米国のダラスからイスラエルのプロバイダーを利用して中国のドメインでメールを送る？
あなたならこのメール信じますか？

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;