金融機関からの『取引目的等の確認』に注意
いつもご覧くださりありがとうございます!
詐欺メールのネタで多く見られるのが『取引目的等の確認』ってヤツ。
これは最近政府から、特殊詐欺やテロ資金供与防止などの犯罪防止の一助として、口座利用目的やお客さま情報を確認することを目的に呼び掛けているため、各金融機関が顧客に対しこれらの通知を行っています。
目ざとい詐欺師たちは、これを格好のネタにして偽サイトへ誘い込んで、ログイン情報や口座情報、クレジットカードの情報等を盗み出そうとしてきます。
今回ご紹介するのもそのようなメールで、今回はJAネットバンクに成りすましています。
件名:[spam] 【JAネットバンク】お取引目的等のご確認のお願い
送信者:自動配信メール <info-jabanknahesan6589@airmat.co.jp> |
| 平素よりJAネットバンクをご愛顧いただき、誠にありがとうございます。
JAネットバンクでは、関係省庁と連携し、預金口座を悪用した特殊詐欺被害等の防止、マネー・ローンダリング及びテロ資金供与・拡散金融対策(※)の強化を通じ、
お客さまが安心・安全にお取引いただけるよう環境整備に取り組んでおります。
この取り組みの一環として、犯罪収益移転防止法および金融庁のマネーロンダリング・テロ資金供与対策ガイドラインに基づき、既に当社と取引のあるお客さまに対して
、以下のサービスを実施いたします。1月より2025年:当社は、取引目的等の確認へのご協力をお願いするメールを定期的に送信し、お客様の現在の情報(住所、職業、取引目的等)を確認させていただきます。
つきましては、JAネットバンクから「お取引目的等の確認に関するご協力のお願い」を受領されたお客さまには、本取り組みへご理解を賜り、ご協力いただきますようお願い申し上げます。
※なお、確認させていただく時期はお客さまごとに異なります。
※2025年01月21日までに 「 お取引目的等の確認 」 より、お取引の目的等のご確認をお願いいたします。
▼お取引目的等の確認
h**ps://kempkept.com/ictoriou.html
※確認が完了しますと、通常どおりログイン後のお手続きが可能になります。
※指定時間内に確認が取れない場合は、アカウントの取引を制限させていただきます。
お客さまにはお手数をおかけしますが、何卒ご理解・ご協力のほどよろしくお願いいたします。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ご不明な点がございましたら、下記までご連絡ください。
連絡先 0120━058━098
これからもJAバンクをよろしくお願いします。 |
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
送信者として記載されているメールアドレスのドメイン(@より後ろ)は”airmat.co.jp”
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
このドメインは、エアマットのレンタルや販売、メンテナンスを行う『ジャパンエアマット』と言う企業のドメインで、当然偽装。
そんな企業がJAネットバンクのメールを代筆するはずありませんもんね!
では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。
| Received: from mail0.rmmmws.com (unknown [202.212.72.140]) |
ほらやっぱりここには『airmat.co.jp』とは異なる『rmmmws.com』なんて別のドメインが記載されています。
まあ間違いないと思いますが、一応ドメイン”airmat.co.jp”を割当てているIPアドレスと比較してみましょう。
こちらが『aWebAnalysis』さんで取得した”airmat.co.jp”を割当てているIPアドレスです。
全然違いますよね、この結果からこの送信者が使ったとされる”airmat.co.jp”を使ったメールアドレスは偽装であることが断定できます。
では更に”rmmmws.com”ってドメインについて『Grupo』さんにて詳しく調査してみましょう。
このドメインは、中国広西チワン族自治区の方が申請取得されています。
そして割当てているIPアドレスは、Receivedフィールドのものと完全合致したので、この送信者の本当のメールアドレスはこの”rmmmws.com”と言うドメインが使われていことが判明しました。
このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、東京都千代田区神田付近であることが分かりました。
リンク先は既に処置済み
さて、本文に直書きされている詐欺サイトへのリンクですが偽装されていて、クリックすると直ぐにリダイレクト(自動転送)されて別のサイトに接続されるよう仕組まれており、そのURLは以下の通りです。
【h**ps://ayhyjt.com/ja/#/select】
(直リンク防止のため一部の文字を変更してあります)
先程と同様に『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。
このIPアドレスからそのロケーション地域を調べると、ロサンゼルス付近であることが分かりました。
リンクを辿ってみると、まずはウイルスバスターにブロックされました。
解除して進むと今度はChromeがブロックしてきましたので相当危険なサイトのようです。
これも解除して更に先に進むと、最終的にはこのようなページが開きました。
『Warning Tip』と書いてあるので何かの警告でしょうか?
その下には『404』と記載があるので『404 Not Found』エラーのこと。
これは読んで字の如く、ページが存在しないことを示すエラー。
恐らくこのサイトを設置したホスティングサービスが、危険を察知してページに接続できないよう予防措置を施したものと思われます。
これでひとまず安心ですね! |