いよいよマニアックなカードに目を付け始めた いつもご覧くださりありがとうございます! 1月中旬を過ぎ、年末から続いていた詐欺メールの多い時期がようやく落ち着いたようで、やっと平常通りの着数に落ち着いた感のある今日この頃。 今度はかなりマニアックなカード会社に目を付けたようで、あまり耳慣れない『ニッセンレンエスコート』と言う信販企業に成りすましてこのようなメールが送られてきました。 件名:[spam] 【ニッセンレンエスコート】2025年1月 カードご利用明細確定のご案内 送信者:”ニッセンレンエスコート” <nissenren-scort.bpoex@service.eyokj.cn>?本メールは「Web明細サービス」をご利用いただいているお客様に配信しております。 今月のカードご利用明細が確定しましたのでご案内いたします。 ▼Webアンサーへログイン h**ps://nsweb.nissenren-scort.co.jp/NsWeb=vuawkqm/Aw051c01.jsp Webアンサーにログインし、『ご利用明細照会』メニューよりご確認ください。 ☆2025年1月は暦の関係により、お支払い方法?回数の変更締切日が早まりますので、カードご利用後、Webアンサーまたはお電話にてお早めにお手続きをお願いいたします。 —————————————————————– 1月分ご請求PDFダウンロードは1月17日0:00AMより可能です。 ※アクセスが集中した場合、通信エラーが発生する可能性がございます。 その際は誠に申し訳ございませんが、お時間をずらしてご利用ください。 —————————————————————– ★ショッピング?キャッシングのご利用後にあとから分割払い等へお支払い方法?回数の変更が可能です。 ▼お支払方法変更サービス h**ps://www.nissenren-scort.co.jp/=du7fr5u/use_change_pay.html ■インフォメーション ?本メールは「Web明細サービス」をご登録いただいているお客様で、今月のご利用明細がある方に、配信のご希望の有無に関わらず一律で配信いたします。 ?本メール内にありますお客様の漢字氏名が正しく表記されない場合がございます。あらかじめご了承くださいますようお願い申しあげます。 ※弊社の定める条件により、必要であると判断した場合は「カードご利用代金明細書」を送付する場合があります。 本メールは、配信専用のアドレスから配信しています。 本メールにご返信されても、返信内容の確認および回答はいたしかねますのであらかじめご了承ください。 本メールの内容についてのお問合せは、下記までお願いいたします。 お問合せ先:info@nissenren-scort.co.jp ※お問合せの際はカードご名義人氏名と弊社にご登録の自宅電話番号、または携帯番号を本文に添えていただきご本人様が特定できるようご送信をお願いいたします。 ご本人様と特定できない場合、ご回答しかねる場合がございますのであらかじめご了承いただきますようお願い申しあげます。 ■発行:株式会社ニッセンレンエスコート 〒060-8508 札幌市中央区南2条西2丁目13番地 Webサイト https://www.nissenren-scort.co.jp/ 貸金業者登録番号 北海道知事(5)石第03051号 | 本文の冒頭の初っ端から『?』から始まる違和感アリアリのこのメール。 全部で3箇所『?』が出てきますが、何か文字化けでもしたのでしょうか? この『ニッセンレンエスコート』と言うのは、北海道に拠点を置く信販会社で、主に北海道を中心に、クレジットカード業務や消費者金融業務、各種保険代理店業務などを行っています。 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 送信者のメールアドレスは中国のドメイン この『ニッセンレンエスコート』さんの公式ドメインは、本文内のURLやお問合せ先メールアドレスにある通り『nissenren-scort.co.jp』です。 でも送信者として記載されているメールアドレスのドメインは”service.eyokj.cn”と全然異なりますし、更にはこのドメインの末尾が”.cn”となっているので、このドメインは中国に与えられた国別ドメイン。 国内の信販会社が、自社の公式ドメインがあるにもかかわらずそれ以外の中国のドメインを使ったメールアドレスでユーザー宛にこのような大切なメールを送るなんて絶対にありません! では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。 こちらがこのメールのReceivedフィールドがこちらです。 Received: from service.eyokj.cn (service.eyokj.cn [108.174.63.167]) | ドメイン”service.eyokj.cn”に関する情報を『Grupo』さんで取得してみます。  割当てているIPアドレスがReceivedフィールドにあるものと合致しているので、この送信者は自身のメールアドレスを隠すことなく送信しています。 そしてこのドメインの持ち主は、詐欺メールのドメイン調査で頻繁に見掛ける中国人。 このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、米国のダラス付近で、ご覧の通りこのIPアドレスは既にブラックリストに登録されています。  見分けが付かない完全コピーサイト さて、本文に直書きされた詐欺サイトへのリンクですが、あたかもニッセンレンエスコートさんの公式ドメイン『nissenren-scort.co.jp』が使われているようにも見えますが、実はこれリンク偽装されていて、実際に接続されるリンク先のURLは以下の通りです。 【h**ps://nissenren-salutical.frozensky.net/member_login/】 (直リンク防止のため一部の文字を変更してあります) ご覧の通りニッセンレンエスコートさんのドメインとは異なるものが利用されていますね。 先程と同様に『Grupo』さんでこのドメインに関する情報を取得してみます。  詳しい情報は取得できないものの、このドメインの申請は中国の方が行っているようです。 このIPアドレスからそのロケーション地域を調べると、詐欺サイトではありがちな、カナダの『トロント市庁舎』付近であることが分かりました。  リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。  この『エヌプラネット』とは、ニッセンレンエスコートユーザー専用のウェブサービスで、ポイント交換やご利用代金明細の照会などが利用できるインターネットサービスです。 本物と見比べてみましたが、全く見分けが付かない完全なコピーサイトです。 当然、ここにIDとパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。 この先のページで会員情報の更新と称し更に個人情報やクレジットカードの情報を盗み取られた上で詐欺の被害に遭うことになります。 |