ETCのセキュリティ規格変更にご注意を いつもご覧くださりありがとうございます! アメリカンエキスプレス(以降アメックス)からのメールを装った詐欺メールも相変わらず後を絶たず、今度はETCカードの将来的なセキュリティ企画変更をネタにこのようなメールを送ってきています。
 使われている差出人のメールアドレスは、アメックス公式サイトのリンク先でアメックスが発表しているドメインとは全く異なるものが使われていますのでこのメールが偽物であることはすぐに分かりますね。
もちろん本文中にある国土交通省へのリンク先URLで使われているドメインもアメックスに似せられたもので国土交通省で使われるドメイン”mlit.go.jp”とは全く異なります。 このETCのセキュリティ規格変更については本当のお話のようで『ETC総合情報ポータルサイト』内に記載されていました。 では、このメールを解体し詳しく見ていきましょう。
まずはプロパティーから見ていきます。 では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきます。 件名は『[spam] 【American Express】重要なお知らせ|ETC車載器のご確認』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は『”American Express” <skxcbf@mhlonczcv.com>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
さてこの”mhlonczcv.com”なんてドメイン、いったい誰のものなのでしょうか?
その辺りは次項で詳しく見ていきましょう。
実は空きドメイン では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、差出人のものとされるメールアドレスにあったドメイン”mhlonczcv.com”について。
ちょっと気になったので本当に存在するのかどうか『お名前ドットコム』さんで調べてみました。
 あらら?このドメインは現在空きドメインで今すぐにでも取得可能だとの事。
空きドメインは当然利用することはできないのでこの差出人はウソをついていることになります。
これでアドレス偽装は確定です!
アドレス偽装は特定電子メール法違反となり処罰の対象とされます。 ※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する 今度はこのメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。 おやおや?
ここには”sakura.ne.jp”なんてレンタルサーバー『さくらインターネット』さんのドメインが記載されていますね。
このカッコ内は偽装することはできない場所なので、この結果から差出人は『さくらインターネット』のサーバーが利用できる環境もあるようです。 末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くしたものがドメインと呼ばれるものです。 ”Received”に記載されているIPアドレスは、差出人が利用したメールサーバーの情報でこれを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を『IP調査兵団』さんで確認してみます。
 (※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 代表地点として地図に立てられたピンの位置は、さくらインターネット本社がある大阪市。
あくまで大雑把な代表地点なので、大阪市庁舎付近が抽出されています。
そして送信に利用されたプロバイダーはやっぱり『さくらインターネット』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバーを介して届けられたようです。
リンク先はもぬけの殻 では引き続き本文。 このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『詳しくはこちら』って書かれたところに付けられていていますが
リンク先を訪れてみると既に閉鎖していました。
そのリンク先で使われていたドメインは、冒頭のキャプチャでご紹介した通り”amex-oinfzcvvty.com”
このドメインにまつわる情報を『Grupo』さんで取得してみます。
 『対応するIPアドレスがありません』とあるので、現在このドメインはどのIPアドレスにも割り当てられていないようです。
それで接続ができなかったのですね!
このドメインの情報から紐解くと、持ち主はアルバニア共和国のASAUHARという街に在住する人物もしくは団体のようですね。
まとめ 今回の調査はここまで。
しかしこのようなネタをよく探してきますね…(^^;)
こういう知識をもっと他に使えばいいのにといつも思うのは私だけでしょうか? いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;
| 
