いつもと件名が異なる佐川急便からの案内メール 今回は、佐川急便に成り済ます不審なメールのご紹介となります。 佐川急便から、このようにいつもと異なる発送案内が届きました。 件名:[spam] 商品が発送されました!注文ID:612A99E124704666
送信者:”shkobbsuxe” <8AxoWF@sagawa.co.jp> | | Sagawa Express Co.,Ltd お客様 ○□△@******.***
会員ID : ○□△@******.***
=””>商品が発送されました! 2025/01/21 にで注文した商品が発送されました。商品のお届けまでもう少々お待ちください。
商品の配送状況などは以下からご確認いただけます。 配送状況を確認する
ショップからのコメント お客様各位 当店をご利用頂きまして誠にありがとうございます。 大変お待たせ致しましたが、ご注文のお品物が佐川急便
へ引き渡されましたので、ご連絡申し上げます。 本メール到着後、通常1日~2日で商品をお届けしております。なお、交通事情や配送会社の配達状況等により遅れる場合もございますので、あらかじめご了承下さい。 この度は誠にありがとうございました。商品到着まで何卒よろしくお願いいたします。 配送会社:佐川急便
伝票番号:566885210032 上記の配送方法で本日発送手配いたしました。 配送状況のご確認は下記の佐川急便様ホームページよりご確認ください。
https://k2k.sagawa-exp.co.jp/p/sagawa/web/okurijoinput.jsp もし商品に対するお問い合わせなどございましたら、
本メールに記載のお問い合わせ先までお知らせくださいませ。
配送状況確認 配送業者のサイトで伝票番号を入力すると、配送状況を追跡できます。 配送情報
配送業者 佐川急便
伝票番号 566885210032
ご注文内容 注文ID:612A99E124704666 | 『shkobbsuxe』と意味不明な送信者名になっていますね。
佐川急便は『スマートクラブ』と言う無料の会員制Webサービスを運営していて、このサービスにユーザー登録を行うと、お届け日時を事前にメールで受け取ることができるようになるのですが、その場合のメールの件名は『【お知らせ】お荷物お届け予定日』で、今回のメールとは全く異なります。
でももしかしたらシステムが更新されメールもリニューアルされているかも知れないので、いつも観点からこのめーるを解析していくことにしましょう。
件名の見出し この件名には”[spam]”と見出しが付けられているので迷惑メールの類です。
この見出しはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
メールアドレスのドメインを確認 送信者として記載されているメールアドレスのドメイン(@より後ろ)は”sagawa.co.jp”
確かにこのドメインは佐川急便さんの公式ドメインです。
でもここは、送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。 では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。 | Received: from mail0.vernalgrass.com (unknown [80.94.92.167]) | ほらね!
佐川急便の公式ドメインとは全く異なる『vernalgrass.com』なんてドメインが記載されていますよ! 末尾に記載のIPアドレスと、ドメイン”sagawa.co.jp”を割当てているIPアドレスと比較してみましょう。
こちらが『aWebAnalysis』さんで取得した”sagawa.co.jp”を割当てているIPアドレスです。
 全然違いますよね、この結果からこの送信者が使ったとされる”sagawa.co.jp”を使ったメールアドレスは偽装であることが断定できます。 では今度は、Receivedフィールドに記載のドメイン『vernalgrass.com』について。
今度は『Grupo』さんで、このドメインに関する情報を取得してみます。
 このドメインは、中国福建省の方が申請して取得されているようです。
割当てているIPアドレスはReceivedフィールドのものとぴったり一致したので、このメール送信者が利用したメールアドレスのドメインは、佐川急便の『sagawa.co.jp』ではなく『vernalgrass.com』であることが確定できました。 このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、オランダのアムステルダム付近であることが分かりました。
宛名を確認 このメールで書かれている宛名は、最初の行に書かれている『お客様 ○□△@******.***』
本物のスマートクラブから届く、お荷物お届け予定日のお知らせの場合は、ユーザー登録時の氏名が記載されていますからあまりにも不自然。
これは、送信者が当方の氏名を知らないことの裏返しですよね。
リンク先のドメインを確認 さて、本文の『配送状況を確認する』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://yourparcel-customersupport-jp.hydropoweruae.com/sagawa】
(直リンク防止のため一部の文字を変更してあります)
これまたなんとも長ったらしいドメインが使われていますね。
もちろん佐川急便さんのドメインとは全く異なります。 先程と同様に『Grupo』さんでこのドメインに関する情報を取得してみます。
 今度は、中国湖北省の方が申請して取得しているようです。
割当てているIPアドレスからそのロケーション地域を調べると、ラスベガス付近であることが分かりました。
 リンクを辿ってみると、まずはウイルスバスターにブロックされました。
解除すると直ぐに今度は Google Chrome にブロックされました。
再び解除して先に進むとこのようなページが開きました。
 再配達を依頼するページのようですが、なぜだか日付の月の部分だけ漢数字が付けられている不思議なページです。
再配達を依頼すると、本物にはありもしない再配達料金をオンライン決済のみで徴収するとして、クレジットカードの情報を要求してきますのでご注意ください。
| 