『詐欺メール』JAネットバンクから『【緊急情報】登録個人情報再確認のお願い』と、来た件

★フィッシング詐欺解体新書★

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

いつもご覧くださりありがとうございます！

・当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます。

件名の見出しを確認
メールアドレスのドメインを確認
宛名を確認
リンク先のドメインを確認

できる限り分かりやすく説明していいます。
最後までお読みいただても5分程度ですのでごゆっくりご覧ください。
では、進めてまいります。

『マネー・ロンダリング』を『マネロン』なんて略す？

今回は、『JAネットバンク』に成り済ます不審なメールのご紹介となります。
今日もここ数日と同じように不審なメールの数は激減しており、一晩で24通とここ数日でも最低数となっています。
まあこれも春節が終わる今日2月4日までかと思われます。
そんな中、JAネットバンクを名乗る者から、マネー・ローンダリング対策に関するこのようなメールが届きました。

件名：[spam] 【緊急情報】登録個人情報再確認のお願い
送信者：ＪＡネットバンク <no-reply@shanmuscwtt7367.com>

いつも、ＪＡバンクをご利用いただきありがとうございます。

現在、当行にでは金融庁指導のもと、マネロン等対策の一環として、お取引の内容、状況等に応じて、過去に確認した氏名・住所・生年月日・ご職業や、取引の目的等について、再度確認をさせていただいております。

お手数おかけしますが、下記のリンクをアクセスし、提出にご協力ください。

h**ps://asxwy.com

ご確認をいただけない場合、セキュリティ上の観点からご利用制限をかけさせていただくことを予めご了承下さい。

お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

ご不明な点がございましたら、下記までご連絡ください。
連絡先０１２０－０５８－０９８
これからもＪＡたかつきをよろしくお願いします。

しかしながら私、JAネットバンクに口座を開設しないし、元来私は名古屋市在住で『JAたかつき』なんて大阪府のJAに口座なんて持つはずもありません。
それにだいたい『マネー・ロンダリング』を『マネロン』なんて略してメールに書きますかね？

相変わらずメールアドレスとリンクURL以外の数字とアルファベットは全角文字なんですね。
これ、不審なメールの1つの特徴なので覚えておかれると損はしませんよ。

件名の見出しを確認

この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

メールアドレスのドメインを確認

送信者として記載されているメールアドレスのドメイン(@より後ろ)は『shanmuscwtt7367.com』
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
因みに『JAネットバンク』が利用するメールアドレスのドメインを『Search Labs | AI』で検索してみると、これとは全く異なるドメインが記載されています。
故にこれらドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from mail1.shanmuscwtt7367.com (v133-18-233-202.vir.kagoya.net [133.18.233.202])

あらま、ここには『kagoya.net』と記載されているので、このメールの送信者はどうやらホスティングサービスを行っている『カゴヤ・ジャパン』さんのユーザーのようです。

この『shanmuscwtt7367.com』ドメインに関する詳しい情報を『Grupo』さんで取得してみます。

割当てているIPアドレスがReceivedフィールドのものと合致したので、この送信者は自身の利用するメールアドレスを隠すことなく利用したようです。
ただ詳しい情報は取得できなかったので『Whois』さんで更に問い合わせてみます。

『Registrant Contact』欄を見ると『Country:JP』とあるので日本から取得申請が行われているようです。
でも『State:jiang dong qu』とありますね。
『State』だから県などの地域を表していると思われますが、『jiang dong qu』は読み取ることはできません。
一応確認のため翻訳してみると、どうやらこれは中国語（簡体）読みのようで『江東区』を意味するようです。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、『』付近であることが分かりました。

宛名を確認

このメールには冒頭の宛名がありません。
でもこのような個人情報の再確認に関わる大切なメールに宛名が無いのはビジネスメールのマナー違反で違和感しかありません。

リンク先のドメインを確認

さて、本文に『JAネットバンク』の公式ドメインとは異なるドメインを使って直書きされた詐欺サイトへのリンクですが偽装されていて、実際に接続されるサイトのURLは以下の通りです。
【h**ps://szlianhongyu.com/top/client/select_PC.php】
(直リンク防止のため一部の文字を変更してあります)
これまた『JAネットバンク』のドメインとは異なるものが利用されていますね。

先程と同様にこのドメイン『szlianhongyu.com』に関する詳しい情報を『Grupo』さんで取得してみます。

今回も詳しい情報は取得できませんでしたので、改めて『Whois』さんでさらに詳しく調べてみます。

先程と同様に『Country:JP』と書かれているので日本から申請されていますね。
今度は『State:ba fan shan』とあります。
再び翻訳してみると

あはは、全然分かりません…(笑)

深追いしても仕方がないので、割当てているIPアドレスからそのロケーション地域を調べると、香港の『九龍地区(Kowloon)』付近であることが分かりました。

リンクを辿ってみると、このようなページが開きました。

使用しているブラウザのChromeの拡張機能が危険を察知してブロックしてしまったようです。

別のブラウザで接続してみると、このように全国にあるJAネットバンクの拠点へのリンクページが表示されました。

もちろんChromeがブロックした通り詐欺サイトなので絶対にログインしてはいけません。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;