『詐欺メール』『【お知らせ】VIEW’s NETの一部機能利用時に電話認証が必要となります』と、来た件

最近中国のドメインを使った不審メールが多い

今回は、『ビューカード』に成り済ます不審なメールのご紹介となります。

『ビューカード』は、JR東日本グループが発行するクレジットカードです。
最近、あからさまな中国のドメイン(@以降)を使ったメールアドレスで送られてくる不審メールが多く見られます。
今回も、このようにドメインの末尾が『.cn』と中国に与えられた国別ドメインのメールアドレスが使われています。

件名：[spam] 【お知らせ】VIEW’s NETの一部機能利用時に電話認証が必要となります 送信者：株式会社ビューカード <mail.viewsnet-xhpols@service.egtk.cn>

《ビューカード会員の皆さまへ》 ※本メールは重要なお知らせのため配信をご希望されていないお客さまへも送信しております。 いつもビューカードをご利用いただきありがとうございます。 =================== 2025年2月から、お客さまに安心してVIEW’s NETをご利用いただくために電話認証を導入いたします。 =================== 電話認証とは、ランダムに発行される認証用電話番号宛に、お客さまがビューカードにご登録いただいている電話番号から発信することで本人認証を行うサービスです（発信にあたっての通話料は無料です）。 VIEW’s NETにログイン後、「VIEW’s NET登録内容変更」（ID、パスワード、Eメールアドレス等を変更するページ）を利用する際に電話認証が必要となります。 ▼ここをクリックして電話認証を登録してください▼ https://viewsnet.jp/sp/S0100/S0100_005.aspx?LoginType=xdt67rnServiceID viewsnet.jp ※ネットショッピングのご利用時にワンタイムパスワードで本人確認を行う本人認証サービス（3Dセキュア）や対面でのカードご利用時に使用する4桁の暗証番号とは異なります。 ──────────────── 【ご注意】 ・本メールは重要なお知らせのため、配信をご希望されていないお客さまへも送信しております。誠に勝手ながら配信停止はいたしかねますので、何卒ご了承ください。 ・ご家族など同じメールアドレスをご登録されている場合は、複数届く場合がございます。 ・本メールは送信専用のため返信できませんので、あらかじめご了承ください。 ・配信先の変更は「VIEW’s NET」からお手続きをお願いいたします。 VIEW’s NET ： https://viewsnet.jp/default.aspx ・配信先の変更は、お手続きのタイミングによって1週間ほどお時間がかかる場合がございます。それまではお手続き前のメールアドレスに配信される場合がありますので、あらかじめご了承ください。 ・本メールに関する一切の記事の無断転載および再配布を禁じます。 配信元 ： 株式会社ビューカード 東京都品川区大崎一丁目5番1号 大崎センタービル URL ： https://www.jreast.co.jp/card/ よくある質問 ： https://faq.viewcard.co.jp/?site_domain=default お問い合わせ ： https://www.jreast.co.jp/card/guide/inquiry.html ※当社は「日本財団電話リレーサービス」にも対応しております。 ──────────────── Copyright(C) Viewcard Co.,Ltd. All Rights Reserved.

このメールは、電話認証を導入に伴う設定登録をネタにリンクに誘い込みクレジットカードの情報を盗み取ろうとするもの。
奴等は新たに『電話認証』なんてネタを見つけたようですね。
今後このネタを使った不審メールが様々なクレジットカード会社の名を騙って増えてきそうな感じがします。

件名の見出しを確認

この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

メールアドレスのドメインを確認

送信者として記載されているメールアドレスのドメイン(@より後ろ)は『service.egtk.cn』
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
因みにビューカードが利用するメールアドレスのドメインを『Search Labs | AI』で検索してみると『@mail.viewsnet.jp』と書かれています。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

このドメインに関する詳しい情報を『Grupo』さんで取得してみます。

ReceivedフィールドのIPアドレスと合致したので、このメールの送信者は自身のメールアドレスを隠すことなく利用してこのメールを送信してきています。
このドメインはこの氏名の方がお持ちのようですが、このところ不審メールのドメイン調査ではこの方の名前ばかり出てきますね。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、ロサンゼルス付近であることが分かりました。
それにこのIPアドレスは既にブラックリストに登録されて、サイバーアタックの攻撃元であるとされています。

リンク先のドメインを確認

さて、本文にビューカードの公式ドメインを使って直書きされた詐欺サイトへのリンクですが、当然偽装されていて、クリックしたらこのようなメッセージがメールアプリから通知されました。

どうやらリンクは偽装されていてこのまま接続しても良いかどうかを尋ねてきています。
構わず先に進んでみると、実際に接続されるサイトのURLは以下の通りです。
【h**ps://viewsnet-pentcy.antalya-alanya.net/first_jalsuica-default/】
(直リンク防止のため一部の文字を変更してあります)
結局ビューカードのドメインとは異なるものが利用されていますね。

今度は『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。

このIPアドレスからそのロケーション地域を調べると、サンフランシスコ付近であることが分かりました。

リンクを辿ってみると、このようなページが開きました。

偽のビューカードのログインページですね。
当然、ここにIDとパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。
この先のページで会員情報の更新と称し更に個人情報やクレジットカードの情報を盗み取られた上で詐欺の被害に遭うことになります。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;