サイトアイコン HEARTLAND

『詐欺メール』『えきねっとご利用者様へ:個人情報更新の必要について』と、来た件

heart

 

★フィッシング詐欺解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

3年前からずっと同じパターン

いつもご覧くださりありがとうございます!

久しぶりに『えきねっと』を騙る詐欺メールをやっとこうと思います。

件名:[spam] 「えきねっとご利用者様へ:個人情報更新の必要について」
送信者:”えきねっと” <user-admlnwikz@shibasks.co.jp>【緊急通知】えきねっとからのお知らせ

日頃より「えきねっと」をご利用いただきありがとうございます。
2024年12月15日にセキュリティシステムを全面的にリニューアルしました。
そのため、7日以上ログインしていない方は、今後のご利用に支障が出ないよう、このメールを受信後、速やかにログインして個人情報を更新してください。

2024年12月25日までに対応いただけない場合、退会手続きが行われる可能性があります。

ログイン

お客さまにはご不便をおかけしますが、何とぞご理解を貫りますようお願い申し上げます。

*このメールは「えきねっと」より自動配信されています。返信いただいても対応いたしかねますのであらかじめご了承ください。

*本メールは、重要なお知らせとして、メール配信を希望されていないお客さまにもお送りしております。

発行:株式会社JR東日本ネットステーション

151-0051 東京都渋谷区千鹿ヶ谷席27-11 アグリスクエア新宿4階

© 2024 JR East Net Stdation Co., Ltd.

えきねっとを騙るメールでよくある『自動退会処理』系のメールですね。
『セキュリティシステムを全面的にリニューアルしました』ってくだりはずいぶん以前から使われているえきねっとネタ。
7日以上ログインしていない方は退会手続きが行われる可能性があると書かれています。

この『えきねっと』はJR東日本が提供するサービスで、私のようなJR東日本管轄以外の地域の方には耳なればいと思います。
このサービスは、インターネット上での指定券予約サービスや旅の情報などをインターネットで提供するウェブサイトの事です。

こういったえきねっとを騙る詐欺メールは、ずいぶん前からあって、初めてうちのサイトで取り上げたのは約3年前の2022年2月22日で、まだ初々しくて懐かしいですね(笑)

『詐欺メール』「えきねっとアカウントの自動退会処理について 」と、来た件
これは騙されそう...※ご注意ください!当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!リ...
ymg.nagoya

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

 

発信地は中国北京市にある『Haidian 海淀区(かいでんく)』付近

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”shibasks.co.jp
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
『えきねっと』を騙る詐欺メールは相当多く同社では手を焼いているようでこのようにわざわざ注意喚起ページを設けています。

えきねっとをかたる偽メール(フィッシングメール)偽サイト(フィッシングサイト)にご注意ください!

この中の『偽メールの対処法』と言う項目で『えきねっとから送信されるメールのドメインは全て「@eki-net.com」です』と記載されているのが確認できます。
この記述からするとメールの送信者のドメインは”shibasks.co.jp”ですから偽物確定ってことになりますね。

因みにこの”shibasks.co.jp”と言うドメインは、埼玉県川口市に拠点を置く『芝測量建築設計株式会社』と言う設計事務所のもの。
もちろんこの設計事務所がえきねっとの詐欺メールを配信するなんて考えられないので偽装に利用されているものと思われます。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from washmeiniankuailoua1605.top (unknown [118.145.206.1])

おやおや?また新たなドメインがお目見えしましたね。

ではまず芝測量建築設計さんの身の潔白を証明してみることにします。
こちらが『aWebAnalysis』さんで取得した”shibasks.co.jp”を割当てているIPアドレスです。

ReceivedフィールドのIPアドレスと全然違うでしょ。
故に送信者のメールアドレスで使われていたドメイン”shibasks.co.jp”は偽装で使われていたものです。

では今度は、この新たなドメインを割当てているIPアドレスを比較してみましょう。
同様に『aWebAnalysis』さんで取得した”washmeiniankuailoua1605.top”を割当てているIPアドレスです。

全く同じなのでこの送信者のメールドメインは”shibasks.co.jp”ではなく”washmeiniankuailoua1605.top”であることが確定できました。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、その地は中国北京市にある『Haidian 海淀区(かいでんく)』付近であることが分かりました。

さて、本文の『ログイン』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
h**ps://ttsztv8cn.top/ekkkkcc/
(直リンク防止のため一部の文字を変更してあります)
これまた『えきねっと』さんのドメインとは異なるものが利用されていますね。

先程と同様に『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。

このIPアドレスからそのロケーション地域を調べると、香港の『Kowloon(九龍地区)』付近であることが分かりました。

リンクを辿ってみると、一旦はウイルスバスターにブロックされましたが解除して先に進むとこのようなページが開きました。

詐欺メール調査で今までに嫌と言う程見てきた『えきねっと』の偽のログインページです。
当然、ここにIDとパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。
この先のページで会員情報の更新と称し更に個人情報やクレジットカードの情報を盗み取られた上で詐欺の被害に遭うことになります。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;
モバイルバージョンを終了