『詐欺メール』『【チケットぴあ】退会手続きの確認をお願いします』と、来た件

 

★フィッシング詐欺解体新書★

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!

・当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます。

  • 件名の見出しを確認
  • メールアドレスのドメインを確認
  • 宛名を確認
  • リンク先のドメインを確認

できる限り分かりやすく説明していいます。
最後までお読みいただても5分程度ですのでごゆっくりご覧ください。
では、進めてまいります。

前書き

今朝のメールチェックに引っかかった不審なメールが183通。
春節の週が明け、いよいよ奴らの活動が始まったようですね。

さて今回は、『チケットぴあ』に成り済ます不審なメールのご紹介となります。
書かれているのは、最近チケットぴあの不審メールでお得意の『ログインがない会員の退会処理』ネタを使ったもの。
これ」、実際にチケットぴあで行われている退会処理なので質が悪いです。
ではまずそのメールを見ていただきましょう。

件名:[spam] 【チケットぴあ】退会手続きの確認をお願いします
送信者:”pia-members” <no_members@pia.co.jp>
ぴあ株式会社
平素よりチケットぴあをご利用いただき、誠にありがとうございます。このたび、チケットぴあではお客様の個人情報をより一層安全に保護するため、ぴあ会員規約第7条1項-(8)に基づき、2025年2月8日7時38分以降ログインがない会員様の退会処理を進めております。

該当するお客様には、こちらの「○□△@******.***」宛てより「【重要】ぴあ会員の退会に関するご連絡」というタイトルでご案内しております。

つきましては、退会対象のぴあ会員IDで引き続きチケットぴあをご利用いただく場合、2025年02月28日(金)23時59分までに一度ログインをお願いいたします。

ログインはこちらから

※ログイン後は、マイページにて登録情報に変更がないかをご確認ください。

なお、退会をご希望される場合は特段の手続きは不要です。弊社にて自動的に退会処理を行わせていただきます。

また、tixeeboxアプリをご利用中のお客様は、退会処理後にtixeeboxアプリとのぴあID連携が解除されますので、予めご了承ください。

【ご注意】
弊社よりお送りするメールが、受信環境等により未着となる場合がございますので、何卒ご了承ください。

お客様にはお手数をおかけしますが、ご理解いただけますようお願い申し上げます。

「チケットぴあ ヘルプページ」 [こちら]

ご注意:このメールは送信専用アドレスから配信されています。本メールへの返信には対応しておりませんのでご了承ください。
このメッセージは ○□△@******.*** 様向けに送信されています。

ログイン期限が今月末の2025年02月28日(金)23時59分と、不審メールにしては猶予がありますね。
まあでも普通の人ならこのメールが届いたらすぐに手続きをすると思います。
では、検証していきますよ!

件名の見出しを確認

この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

メールアドレスのドメインを確認

送信者として記載されているメールアドレスのドメイン(@より後ろ)は『pia.co.jp
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
確かにこのドメインはチケットぴあさんの公式なドメインで、メールの送信やウェブサイトなどに使われています。
でも件名の見出しなどから考えるとこのメールは明らかに怪しいメール故に偽装されていると思われます。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from t-pia-co-jp.shop (unknown [103.61.38.226])

本当ならここにも『pia.co.jp』が記載されているはずですが、ご覧の通りそれとは全く異なる『t-pia-co-jp.shop』なんてドメインが記載されていますよね。

ドメイン『pia.co.jp』を割当てているIPアドレスと比較してみましょう。
こちらが『aWebAnalysis』さんで取得したこのドメインに割当てているIPアドレスです。

これがぴあさんの公式ドメイン『pia.co.jp』を割当てているIPアドレス。
Receivedフィールドのものと全く異なるので、この送信者のメールアドレスのドメインは『pia.co.jp』ではありません。

では『t-pia-co-jp.shop』はどうなのでしょうか?
今度、このドメインに関する詳しい情報を『Grupo』さんで取得してみます。

今度はReceivedフィールドのものとぴったり一致したので、このドメインが送信者のメールアドレスのものです。
それにこのドメインは、米国のカリフォルニアの人物が申請取得しているようです。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、香港の九龍地区(Kowloon)付近であることが分かりました。

宛名を確認

このメールには通常本文の冒頭にあるはずの宛名がありません。
このような退会に関する重要なメールで宛名が無いのはとても不自然。
これは、送信者が受信者の氏名を知らないことの証となります。

リンク先のドメインを確認

さて、本文の『ログインはこちらから』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
h**ps://1a-piakeamn.jp/?/xWhfuMK6……..
(直リンク防止のため一部の文字を変更し、あまりに長いので後半は省略てあります)
これまた『チケットぴあ』さんのドメインとは異なるものが利用されていますね。

先程と同様にこのドメイン『1a-piakeamn.jp』に関する詳しい情報を『Grupo』さんで取得してみます。

このドメインは、京都に拠点を置く『ネットオウル』さんを介して取得されているようで、公表は差し控えますが、申請者の氏名はガッツリ記載されていました。

このIPアドレスからそのロケーション地域を調べると、カナダのトロント市庁舎付近であることが分かりました。
それにこのIPアドレスは既にブラックリストに登録されて、脅威レベルは『中』とされています。

リンクを辿ってみると、このようなページが開きました。

チケットぴあさんのログインページを模したものですね。
でも、本物のログインページには、右側に『他サービスIDを利用してログイン』が表示されていて偽物と全く異なります。

当然、ここにIDとパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。
この先のページで会員情報の更新と称し更に個人情報やクレジットカードの情報を盗み取られた上で詐欺の被害に遭うことになります。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

迷惑メール1a-piakeamn.jp,IPアドレス,pia-members,pia.co.jp,SPAM,チケットぴあ,ドメイン,ドメインを確認,なりすまし,ぴあ会員の退会に関するご連絡,ぴあ会員規約第7条1項,ぴあ株式会社,フィッシング詐欺,ログインがない会員様の退会処理,不正利用,件名の見出し,偽サイト,偽メール,宛名を確認,拡散希望,注意喚起,詐欺,詐欺メール,迷惑メール

Posted by heart