『イープラス』から届いたメール いつもご覧くださりありがとうございます! 最近『3Dセキュア2.0』に絡んだフィッシング詐欺メールが多く見られます。
今日もこのように『イープラス』の名を騙り私のところにこのようなメールが届いております。
 この『3Dセキュア2.0』は、オンライン決済のセキュリティを強化するために導入されたもので、主にクレジットカードの不正利用を防止することを目的としていて、ECサイトやオンラインサービスでの決済時に本人確認を行うプロセスとして使われます。
皆さん既にご承知かとは思いますが、この3Dセキュア2.0では、パスワード認証に加え、指紋や顔認証、ワンタイムパスワードにより従来の3Dセキュアより安全な認証方式を使用することができます。
ではなぜ最近このように3Dセキュア2.0に絡んだメールが多いかというと、実は、このほど国の方針として経済産業省が2025年3月末を目処にECサイトへの導入を義務化したからです。
イープラスもご多分に漏れずこのメールに書かれているように2024年10月1日(火)より3Dセキュア2.0が必須となったわけで、このメールはまあ言ってみれば便乗詐欺と呼ばれる分類のメールになります。 では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきます。 件名は『[spam] 【e+より】アカウント安全確認のお願い』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は『”eplus” <info_support@eplus.co.jp>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
“eplus.co.jp“は確かにイープラスさんの公式なドメインですが、これに騙されてはいけません。
本文にあるリンクURLで使われているのは”support-es.info”で、全然イープラスのドメインとは異なります。
よってこのメールはイープラスからのものでは無いと分かりますよね!
ヘッダーには別のドメインが記載?! では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。 ん?
ここに”eplus-members.info”なんてイープラスっぽいドメインが記載されていますね。
もちろんこれもイープラスのドメインとは異なります。
このドメインについても調べてみる必要がありそうですね!
でもまずは、差出人のメールアドレスにあった”eplus.co.jp“について、本当に偽装されているのかどうかを調べてみます。 末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くしたものがドメインと呼ばれるものです。 ”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは送信者のデバイスに割当てられたもので偽装することができません。 では、『Grupo』でドメイン”eplus.co.jp“を割当てているIPアドレスについての情報を確認します。
 当然イープラスさんが登録者として記載されています。
これによると”3.115.135.184”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIP”118.194.237.158”と同じ数字の羅列になるはずですが、それが全く異なるのでこのメールのドメインは”eplus.co.jp”ではありません。
これでアドレスの偽装は確定です! では今度は”Received”に記載されていたドメイン”eplus-members.info”について。
 ほら、割当てているIPアドレスは”Received”に記載のものとピッタリと合致していますよね。
ということはこの差出人の本当のメールアドレスのドメインは”eplus-members.info”
更にこのドメインは『Super Privacy Service LTD c/o Dynadot』と言う米国のレジストラを介して取得されていることも分かります。
この『Super Privacy Service LTD c/o Dynadot』は、ドメイン登録者の個人情報を保護するためのプライバシー保護サービスを提供している会社です。
通常、ドメインを購入・登録すると、ドメイン所有者の名前や住所、連絡先などの個人情報がWHOISという公開データベースに掲載されますが、この情報が公開されることでスパムや不正利用、プライバシー侵害のリスクが生じますが、このレジストラを通すことでそれらの情報が開示されないのでこういったサイバー犯罪の温床として使われることが多く見られます。 ちょっと長くなってしまいましたが、今度はこの”Received”に記載いるIPアドレス”118.194.237.158”を利用して差出人が利用したメールサーバーの情報を掘り起こしてみます。
では、このIPアドレスの危険性や送信に使われた回線情報とその割り当て地を『IP調査兵団』さんで確認してみます。
 (※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) ほらほら、このIPアドレスを元に割り出した危険度は『脅威レベル:高』とされているようです。
その詳細は『サイバーアタックの攻撃元』表示とされていて既にその界隈では知られるところとなっているようです。
そして代表地点として地図に立てられたピンの位置は、東京都杉並区にある『日本大学鶴ヶ丘高等学校総合グラウンド研修館』付近。
あくまで大雑把な代表地点なのをお忘れなく。
そして送信に利用されたプロバイダーは香港の『Ucloud Information Technology (Hk) Limited』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバーを介して届けられたようです。
Googleでも既にブラックリスト入り では引き続き本文。 このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『本人認証サービス(3Dセキュア2.0)の詳細』って書かれたところに付けられていて、
そのリンク先をGoogleの『透明性レポート』で検索するとサイトステータスはこのようにレポートされていました。
 やはりGoogleでも既に『フィッシングサイト』としてしっかりブラックリストに登録済みです。 このURLで使われているドメインは”support-es.info”とイープラスのドメインとは異なります。
このドメインにまつわる情報を『Grupo』さんで取得してみます。
 またしても申請登録に利用したのは『Super Privacy Service LTD c/o Dynadot』ですね。
かなり用心深い詐欺師のようです。 このドメインを割当てているIPアドレスは”104.21.21.180”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を再び『IP調査兵団』さんで確認してみます。
 (※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 今度は米国のシャンティリー(Chantilly)が代表地点としてピンが立てられました。
こちらもあくまで大雑把な代表地点でございます。
利用されているホスティングサービスも米国に拠点を置く『American Registry Internet Numbers』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 リンク先を訪れるとこのようなページが開きました。
 本物を確認してみましたがそっくりのログインページです。
もちろん詐欺サイトですから絶対にログインしてはいけません!
まとめ 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;
| 
