前書き 今回は、『ファミペイ』に成り済ます不審なメールのご紹介となります。 先程、ファミペイから不正ログインに関するこのようなメールが届きました。 件名:<緊急!ファミペイ 重要なお知らせ> [メールコード Fm4104] 送信者:ファミペイ <info-family.co.jp@dehpuv489.asia> | ※本メールは重要なお知らせのため、メールを受け取らない設定をされている方にもお送りしております。ご了承ください。 ログイン日時:02/14/2025 11:47:38 こんにちは、ファミペイのアカウントを使って別のデバイスからログインしようと何度も試みられましたことを通知するメーセージです。 お客さまのアカウントを保護するために、アカウントを一時的にロックしました。 アカウントを引き続き使用するには、24時間前に情報を更新することをお勧めします。それ以外の場合、あなたのアカウントは永久ロック。 確認用アカウント Copyright © Famima Digital One Co., Ltd. All rights reserved. | 不思議ですねぇ、私ファミペイにアカウント持っていませんけどどうして存在しないアカウントで不正利用なんて発生するのでしょうか?(笑) 『あなたのアカウントは永久ロック』って懐かしいですね、これ以前 Amazon を騙る不審なメールでyぽく使われていた常套句です。 件名の見出しを確認 この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 メールアドレスのドメインを確認 送信者として記載されているメールアドレスのドメイン(@より後ろ)は『dehpuv489.asia』 なんだかとても怪しげなドメインですね。 ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。 因みに『ファミペイ』が利用するメールアドレスを『Search Labs | AI』で検索してみると『@family.co.jp』と書かれています。 故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。 では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。 こちらがこのメールのReceivedフィールドがこちらです。 Received: from dehpuv489.asia (unknown [165.154.241.148]) | まずはこのドメインについて詳しい情報を『Whois』さんで検索してみます。  これによると『Country:China』と『State:Hangzhou』とあるのでこのドメイン申請者の所在地は、中国杭州市と言うことになります。 次にこのドメインを割当てているIPアドレスをReceivedフィールドのものと比較してみましょう。 こちらが『aWebAnalysis』さんで取得したこのドメインに割当てているIPアドレスです。  全く同じ数字なので、この送信者は自身のメールアドレスを偽ることなくこのメールを送信してきたようです。 このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、東京都杉並区付近であることが分かりました。 宛名を確認 『本メールは重要なお知らせのため』と書かれている通り、このメールは不正利用を通知する大変重要なメールです。 それなのに通常冒頭に付けられている宛名が無いのはとても不自然です。 これは大きなビジネスメールのマナー違反となります。 リンク先のドメインを確認 さて、本文の『確認用アカウント』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。 【h**ps://544411.net/www.family.co.jp/login/】 (直リンク防止のため一部の文字を変更してあります) 『family.co.jp』と書かれていますが、このURL内のドメインはこの部分ではなく『544411.net』がドメインとなりますのでお間違いなく。 先程と同様に『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。  このIPアドレスからそのロケーション地域を調べると、またしても東京都杉並区付近であることが分かりました。  リンクを辿ってみると、まずはChromeがブロックしてきたのでGoogleでは既にブラックリストに登録ぞ三のようです。 解除して進んでみるとこのようなページが開きました。  本物そっくりですね。 当然、ここにIDとパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。 この先のページで会員情報の更新と称し更に個人情報やクレジットカードの情報を盗み取られた上で詐欺の被害に遭うことになります。 |