『詐欺メール』『【チケットぴあ】マイページをご確認ください!』と、来た件

迷惑メール
記事内に広告が含まれています。

 

★フィッシング詐欺解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

 

いつもご覧くださりありがとうございます!

・当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます。

  1. 件名の見出しを確認
  2. メールアドレスのドメインを確認
  3. 宛名を確認
  4. リンク先のドメインを確認

できる限り分かりやすく説明していいます。
最後までお読みいただても5分程度ですのでごゆっくりご覧ください。
では、進めてまいります。

不審メール激減の原因は旧正月の『春節』??

なんか今週に入ってから急に不審なメールの数が激減したのです。
それも昨日から格段に少なくなって、私はネタ不足で商売あがったり…(^^;)
ん~、それにしても何かあったのでしょうか?
あっ、もしかして旧正月の春節?
テレビニュースで90億人が大移動なんて、やってた、やってた!
調べてみると、中国では28日から2月4日まで8連休らしい…
それにしてもこんなにはっきり出るもんですね(笑)
これじゃ来週いっぱいはネタ切れしそうですね…(;^_^A

さて今回は、『チケットぴあ』に成り済ます不審なメールのご紹介となります。

件名:[spam] 【チケットぴあ】マイページをご確認ください!
送信者:”pia-members” <members@pia.co.jp>
ぴあ株式会社
平素よりチケットぴあをご利用いただき、誠にありがとうございます。このたび、チケットぴあではお客様の個人情報をより一層安全に保護するため、ぴあ会員規約第7条1項-(8)に基づき、2025年1月29日4時4分以降ログインがない会員様の退会処理を進めております。

該当するお客様には、こちらの「○□△@******.***」宛てより「【重要】ぴあ会員の退会に関するご連絡」というタイトルでご案内しております。

つきましては、退会対象のぴあ会員IDで引き続きチケットぴあをご利用いただく場合、2024年01月31日(水)23時59分までに一度ログインをお願いいたします。

ログインはこちらから

※ログイン後は、マイページにて登録情報に変更がないかをご確認ください。

なお、退会をご希望される場合は特段の手続きは不要です。弊社にて自動的に退会処理を行わせていただきます。

また、tixeeboxアプリをご利用中のお客様は、退会処理後にtixeeboxアプリとのぴあID連携が解除されますので、予めご了承ください。

【ご注意】
弊社よりお送りするメールが、受信環境等により未着となる場合がございますので、何卒ご了承ください。

お客様にはお手数をおかけしますが、ご理解いただけますようお願い申し上げます。

「チケットぴあ ヘルプページ」 [こちら]

ご注意:このメールは送信専用アドレスから配信されています。本メールへの返信には対応しておりませんのでご了承ください。
このメッセージは ○□△@******.*** 様向けに送信されています。

調べてみると『チケットぴあ』では、以下の通り安全保護を目的に定期的に長期間ログインがないユーザーの会員退会処理を行っているようです。
ぴあ会員の退会に関するご連絡
「【重要】ぴあ会員の退会に関するご連絡」について

このメールは、これに便乗した詐欺メールのようです。
メールによると『2025年1月29日4時4分以降ログインがない会員』と書かれています。
『4時4分』って、なんとも中途半端な時刻で…
本物は『00時00分』です。

件名の見出しを確認

この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

メールアドレスのドメインを確認

送信者として記載されているメールアドレスのドメイン(@より後ろ)は『pia.co.jp』で、これはチケットぴあさんの公式ドメインです。
でもここは、送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
その辺りを深堀して調べてみることにします。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from eplus.my (unknown [103.61.39.111])

あらま?
ここにはチケットぴあさんとは全く異なるイープラスっぽい『eplus.my』なんてドメインが記載されていますね。
ドメイン『pia.co.jp』を割当てているIPアドレスと比較してみましょう。
こちらが『aWebAnalysis』さんで取得した『pia.co.jp』を割当てているIPアドレスです。

全然違いますよね、この結果からこの送信者が使ったとされる『pia.co.jp』を使ったメールアドレスは偽装であることが断定できます。

では、Receivedフィールドに記載のあった『eplus.my』はどうでしょうか?
同様に『aWebAnalysis』さんで取得したこのドメインに割当てているIPアドレスです。

ぴったり一致したので、こちらがこの送信者の本当のメールアドレスのドメインです。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、香港の『九龍地区(Kowloon)』付近であることが分かりました。

 

リンク先のドメインを確認

さて、本文の『』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
h**ps://mb-piaookns.com/?/t0u5ccafad……..
(直リンク防止のため一部の文字を変更してあります)
あまりに長いので、後半は割愛いたしました。
今度はチケットぴあさんのドメインとは異なるものが利用されていますね。

今度は『Grupo』さんでこのドメインに関する情報を取得してみます。

このドメインの情報のほとんどがプライバシー保護されていてマスクされていますが、これが正しければこのドメインの登録者は、滋賀県の方。
IPアドレスからそのロケーション地域を調べると、東京都杉並区付近であることが分かりました。

リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。

当然偽サイトなので、ここにIDとパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。この先のページで会員情報の更新と称し更に個人情報やクレジットカードの情報を盗み取られた上で詐欺の被害に遭うことになります。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

目次
目次
タイトルとURLをコピーしました