『詐欺メール』『全日空（ANA）【重要】お客様の会員情報に問題が発生しています。ご確認をお願いします』と、来た件

全日空が中国のドメインでメールを送る？！

いつもご覧くださりありがとうございます！

『ANA CARD』なるカード会社から、会員情報に問題が発生していますとのメールが届きました。

ANAは全日空の事で、ANA CARD は全日空が発行するクレジットカードです。
私、そのようなクレジットカード持っていないのになぜこのようなメールが届いたのでしょうね？

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

署名欄に書かれている『ANAマイレージクラブ事務局』なる怪しい部署名。
調べましたがそのような事務局は出てきませんでした。

ドメインを割当てているIPアドレスはブラックリスト入りしていた

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”service.jzfe.cn”
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
もうお分かりですよね？
そう、このドメインの末尾にある”.cn”は、中国に与えられた国別ドメイン。
全日空がそのようなよその国のドメインを使って、クレジットカードに関する重要なメールをユーザーに送ることなんて絶対にありません。
因みに『全日空』が利用するメールアドレスのドメインを『Search Labs | AI』で検索してみると
『@ana.co.jp』と書かれています。
故にこのドメイン以外のメールアドレスで届いた『全日空』からのメールは全て偽物と言うことになります。

メールヘッダーの『Receivedフィールド』からこのドメインの持ち主について調べると
間違いなく送信者のもので、その氏名は当用漢字に無い漢字3文字が利用されたもの
その申請は中国の『』を介して行われていました。
そしてIPアドレスから導き出したおおよそのこのメールの発信地は『』であることも分かりました。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

ドメイン”service.jzfe.cn”に関する情報を『Grupo』さんで取得してみます。

ReceivedフィールドのIPアドレスと合致したので、この送信者は自身のメールアドレスを隠すことなく利用したことになります。
そしてその持ち主は、詐欺メールドメインの調査で頻繁に見掛ける中国人です。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、香港の『九龍地区(Kowloon)』付近であることが分かりました。

詐欺サイトのリンクは当然偽装

さて、本文に全日空の公式ドメイン『ana.co.jp』を使って記載されている詐欺サイトへのリンクですが、もしh論これはリンク偽装で、本当のリンク先のURLは以下の通りです。
【h**ps://ana-vitistic.hlktss.cn/amcmembr_Loginam/】
(直リンク防止のため一部の文字を変更してあります)
これまた全日空のドメインとは異なるものが利用されていますね。

先程と同様に『Grupo』さんでこのドメインに関する情報を取得してみます。

先程の方とは異なる人物の所有物ながら、この方もこれらの調査では頻繁に見掛る氏名。

再びこのIPアドレスからそのロケーション地域を調べると、詐欺サイト設置場所の王道でカナダの『トロント市庁舎』付近であることが分かりました。

リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。

当然、ここにお客様番号とパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。
この先のページで会員情報の更新と称し更に個人情報やクレジットカードの情報を盗み取られた上で詐欺の被害に遭うことになります。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;