『詐欺メール』『【見逃し厳禁】必要な手続きが未完了です』と、来た件

★フィッシング詐欺解体新書★

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

いつもご覧くださりありがとうございます！

・当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます。

件名の見出しを確認
メールアドレスのドメインを確認
宛名を確認
リンク先のドメインを確認

できる限り分かりやすく説明していいます。
最後までお読みいただても5分程度ですのでごゆっくりご覧ください。
では、進めてまいります。

システムの改修に伴い情報更新が必要だそうです

今回は、『えきねっと』に成り済ます不審なメールのご紹介となります。
かなり以前からあるこの『えきねっと』を騙る不審なメール。
ずっと『自動退会処理』をネタにするものが多かったのですが、ここ最近ちょっと変わってきているような気がします。
今回もこのように、システムの改修に伴い情報更新が必要となったと自動退会処理とは異なるネタを使ってきています。

件名：[spam] 【見逃し厳禁】必要な手続きが未完了です
送信者：”えきねっと” <sever.eki-net.pcrxtkac@service.jaixn.cn>

えきねっと

いつも「えきねっと」をご利用いただき、誠にありがとうございます。

現在、システムの改修に伴い、より安全にサービスをご利用いただくために、お客様の情報更新が必要となっております。

更新手続きを行うことで、サービスの利用を継続できますので、以下のボタンをクリックして情報をご確認ください。

情報を更新

ご協力ありがとうございます。
これからも「えきねっと」をよろしくお願いいたします。

※このメールは「えきねっと」より自動配信されています。

返信いただきましても対応いたしかねますので、あらかじめご了承ください。

※本メールは、重要なお知らせとして配信されており、配信を希望されていないお客様にもお送りしております。

発行：株式会社JR東日本ネットステーション
〒151-0051 東京都渋谷区千駄ヶ谷5-27-11 アグリスクエア新宿4階

『見逃し厳禁』だなんて、そんな言葉を件名に使いますかね？
それにこのメール、まだ情報を更新するかどうか分からないのに『ご協力ありがとうございます』って違和感しかありません。

件名の見出しを確認

この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

メールアドレスのドメインを確認

送信者として記載されているメールアドレスのドメイン(@より後ろ)は『service.jaixn.cn』
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
因みに『えきねっと』が利用するメールアドレスのドメインを『Search Labs | AI』で検索してみると『@eki-net.com』と書かれています。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。
ドメインの末尾が『.cn』なのでこれは中国に与えられた国別ドメインです。
まあ、えきねっとさんがそんなドメイン使うはずありませんけどね！

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from service.jaixn.cn (service.jaixn.cn [107.175.63.24])

このドメイン『service.jaixn.cn』に関する詳しい情報を『Grupo』さんで取得してみます。

このドメインは中国の方が、上海のレジストラと解して取得されていますね。
このお名前は、これらの調査で頻繁に見掛ける方です。
ReceivedフィールドのIPアドレスと合致しているので、このメールの送信者は包み隠すことなく自身のメールアドレスを利用してこのメールを送信してきたようです。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、米国イリノイ州にあるエルクグローブビレッジ(Elk Grove Village)付近であることが分かりました。

宛名を確認

このメールには、冒頭に宛名がありません。
このような利用制限に関わるような大切なメールに宛名が無いのはとても不自然ですね。

リンク先のドメインを確認

さて、本文の『』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://eki-net-centuryator.vacationssanibel.net/Perosnal_member/】
(直リンク防止のため一部の文字を変更してあります)
これまた『えきねっと』さんのドメインとは異なるものが利用されていますね。

先程と同様にこのドメインに関する詳しい情報を『Grupo』さんで取得してみます。

これもまた中国の方が取得されているようですが、詳しい情報はプライバシー保護でマスクされています。
割当てているこのIPアドレスからそのロケーション地域を調べると、カナダのトロント市庁舎付近であることが分かりました。
それにこのIPアドレスは、脅威レベルは『中』とされ警戒が必要なものとして認識されています。

リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。

もう見飽きてしまった感のあるか『えきねっと』にそっくりの偽サイトです。
当然、ここにIDとパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。
この先のページで会員情報の更新と称し更に個人情報やクレジットカードの情報を盗み取られた上で詐欺の被害に遭うことになります。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;