『詐欺メール』『【e+より】ご利用のカード情報についての確認』と、来た件

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

アドレスドメインが正しくても疑ってください

いつもご覧くださりありがとうございます！

台風10号が夏特有の進路予想で迷走しております。
最初は東海地方直撃予想だったものが左へ左へずれ今のところ鹿児島上陸予想に変化し速度も遅くなり実際どのコースを取るのか未だ分からない状況で油断が許されません。
さて、詐欺メールも予断が許されないものが相変わらず大量に届いており、新種としては今回ご紹介する『イープラス』他いくつかのものが新たに届けられております。
その『イープラス』を騙った詐欺メールがこちらです。

あら、イープラスからメールだわぁ。
何の用事かしら…
ん、なになに？3Dセキュア2.0の登録が必要だって？
なにそれ…

『3Dセキュア2.0』ってのはクレジットカードの認証方法で
今まではカード認証するにはパスワード認証だけだったでしょ？
それにプラスして生体認証(顔・指紋)やワンタイムパスワードなど
以前の認証以上にセキュリティーを高めたものなんだよ。

で、ところで君、イープラス会員だっけ？

いいえ、私イープラスにユーザー登録なんてしてないわよ。
あっ、これもしかして…
でも差出人のメールドメインがイープラスさんの物っぽいけど。

はい、こんにちはHeartです。
そう、このメールはイープラスになりすます
フィッシング詐欺メールです。
差出人のメールアドレスなんて誰でも偽装できるので
簡単に信じてはいけませんよ！
宛名がメールアドレスになっているでしょ？
差出人は、あなたの氏名を知らないからで
これが詐欺メールの大きな特徴です。
更にリンク先URLはイープラスさんのドメインではありません。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきます。

件名は『[spam] 【e+より】ご利用のカード情報についての確認』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は『”eplus” <info_mem@eplus.co.jp>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

ヘッダーに異なるドメインが現れる

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。

ほらほら、もし本当にイープラスさんが差し出したものならここにも”eplus.co.jp”と記載があるはずだけど、でもここには”admin-apple.one”なんて全然違うドメインが書かれていますよね。
ここからもこのメールが偽物であることが分かります。

末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くしたものがドメインと呼ばれるものです。

”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは送信者のデバイスに割当てられたもので偽装することができません。
このIPアドレス”202.95.213.33”は、差出人が利用したメールサーバーの情報でこれを紐解けば差出人の素性が見えてきます。

このIPアドレスを元に送信に使われた回線情報とその割り当て地を『IP調査兵団』さんで確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

代表地点として地図に立てられたピンの位置は、JR神田駅西側周辺。
あくまで大雑把な代表地点なのをお忘れなく。
そして送信に利用されたプロバイダーは、国内の『Kvh』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバーを介して届けられたようです。

日常的にチケット販売サイト使う？

では引き続き本文。

『日常的にイープラスをご利用いただき』って冒頭からおかしなこと言いますね。
日常的にチケット販売サイト使っているのはアイドルの追っかけくらいでしょう(笑)

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『本人認証サービス(3Dセキュア2.0)の詳細』って書かれたところに付けられていて、
そのリンク先をコンピュータセキュリティブランドのトレンドマイクロの『サイトセーフティーセンター』で検索するとその危険度はこのように評価されていました。

既に『フィッシングサイト』としてしっかりブラックリストに登録済みですね。

このURLで使われているドメインは”eplus-account.info”
このドメインにまつわる情報を『Grupo』さんで取得してみます。

出ましたね『Super Privacy Service LTD c/o Dynadot』
ここは、ドメイン名の登録者情報を保護するためのプライバシー保護サービスです。
このサービスは、ドメイン登録者の個人情報（名前、住所、電話番号、メールアドレスなど）を公開WHOISデータベースから非公開にするために提供されます。
故にこのように検索結果には実際のドメイン登録者の代わりに自社名を表示させています。
このためサイバー犯罪の温床とされることが多いレジストラです。

このドメインを割当てているIPアドレスは”172.67.131.218”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を再び『IP調査兵団』さんで確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

はい、代表地点として地図に立てられたのは、詐欺サイトど定番の『トロント市庁舎』付近。
こちらもあくまで大雑把な代表地点でございます。
利用されているホスティングサービスは、米国の『Cloudflare』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

トレンドマイクロの『サイトセーフティーセンター』での危険度評価からすると、リンク先の
詐欺サイトは、どこからもブロックされることなく無防備な状態で放置されていると思われます。
そんなサイトに、調査を目的で安全な方法を利用して訪れてみることにします。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

本物はこのようにフローティングになっていますが、行き慣れないと判断できませんよね。
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで詐取されることでしょう。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;