『詐欺メール』エポスカードから『アカウントセキュリティ』に関するメールが複数届いた件

heart

2か月前

『エポスカード』を騙る3つのメールを検証

多分あなたは、このメールに不信感を持ち検索されてここにいらっしゃった方かと思います。
ご心配でご不安したよね？
でもご安心ください、このメールは、詐欺メールですから削除してしまって結構です！
これでほっとされたのなら、お役に立てて何よりです。
このメールについて更にもっと詳しく知りたいと言う奇特な方、恐らく10分以内に読み終われると思いますので、お時間が許しましたら最後まで是非お読みください。

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

他人のメールアドレスを騙り

いつもご覧くださりありがとうございます！

私はいつもPC用のメールソフト『Thunderbird』とウェブメーラーの『Active!Mail』を利用して仕事用とプライベート用のメールの受送信を行っているのですが、今日はその両方に『エポスカード』からとされる複数のメールが届きました。
件名の見出しにはそれぞれ[spam]と付加されているので、どれも迷惑メールや詐欺メールの類とサーバーに判断されたもの。
それらのメールを3つを以下に並べてみました。

1通目
件名『[spam] アカウント保護のため、携帯番号を再確認してください』
差出人『エポスカード <epos-Email.4yama0p5M@gilt.jp>』

2通目
件名『[spam] セキュリティ更新：再認証を今すぐ完了してください』
差出人『”エポスカード” <epos-Email.3ota5M1p@creema.jp>』

3通目
件名『[spam] 【重要】エポスカードご利用に関するお知らせ』
差出人『”エポスカード” <epos-Email.3obk5M1p@creema.jp>』←2通目と同じ

1通目がPCのThunderbirdで受信したもので、下2つがActive!Mailで受信したもの。
1通目の差出人アドレスドメイン(@より後ろ)は”gilt.jp“で、ご存じの方も多いと思いますがこれは日本最大級の会員制ファミリーセールサイト『ギルト』さんのドメインで、詐欺メールの差出人としてよく使われている偽装アドレス。
そして2通目3通目は”creema.jp”で、これも日本最大のハンドメイドマーケットプレイス『クリーマ』さんのドメインで、このドメインに偽装した詐欺メールも最近大量に見つかっています。
1通目と2通目3通目は別のドメインを使っているので異なる詐欺犯かなと思って本文にあるリンク先を確認してみると、1通目と2通目が全く同じリンク先で3通目のみ異なるリンク先。
これらの結果からこの3つのメールの作者は同一犯の仕業であることが考察できます。

試しにこれらのリンク先を辿ると、どれもリダイレクト(自動転送)され、本物の『エポスカード』のオフィシャルサイトにつながるように仕組まれています。
故にこれらのメールは、詐欺が目的ではなく愉快犯によるイタズラが目的のようです。

やっぱりどれも同一犯の仕業

では、送信元の情報を確認できるヘッダーソースにある”Received”からそれぞれの送信者情報を調べてみることにします。

1通目
Received:『from C20240911019617.local (unknown [137.220.198.32])』2通目
Received:『from C20240911019617.local (unknown [137.220.198.32])』

3通目
Received:『from C20240911019617.local (unknown [137.220.198.32])』

ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。

末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くしたものがドメインと呼ばれるものです。

”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは送信者のデバイスに割当てられたもので偽装することができません。

これを見れば一目瞭然！
どれもそのIPアドレスは”137.220.198.32”で、送信元はやっぱり同じIPアドレス。
ギルトのドメインを使おうがクリーマのドメインを使おうが、差し出したのは同一人物です。

このIPアドレスは、差出人が利用したメールサーバーの情報でこれを紐解けば差出人の素性が見えてきます。
これを元に送信に使われた回線情報とその割り当て地を『IP調査兵団』さんで確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

代表地点として地図に立てられたピンの位置は、香港の上環(Sheung Wan)付近。
あくまで大雑把な代表地点なのをお忘れなく。
そして送信に利用されたプロバイダーは、香港にもサーバーを持つ『CTG Server Ltd.』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバーを介して届けられたようです。

但し、これらのメールは、恐らく乗っ取った世界中にあるデバイスを使って送信されているため同じ差出人でも時によっては別の国から発信されているものもあり奴らの居場所を特定することは非常に難しくなっています。

まとめ

これらのメールに騙されることなく特に件名の見出しに[spam]など迷惑メールと判断されているものは、本文を読むことなく削除しましょう。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;