『詐欺メール』『【重要】ETC利用照会サービス – ログイン確認のお願い』と、来た件

2025年2月21日

★フィッシング詐欺メール解体新書★

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

いつもご覧くださりありがとうございます！

☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆

件名の見出しを確認
メールアドレスのドメインを確認
宛名を確認
リンク先のドメインを確認

できる限り分かりやすく説明していいます。
最後までお読みいただても5分程度ですのでごゆっくりご覧ください。
では、進めてまいります。

前書き

今回は、『ETC利用照会サービス』に成り済ます不審なメールのご紹介となります。

うちのサイトで初めてETC利用照会サービスさんに成り済ます悪意のある不審メールを取上げたのが、2021年9月15日でもう3年半前。
まだ未だに普通に届き続けていますが、同サービスさんもうんざりでしょうし、これだけ多くあるともう誰も騙されないでしょうね。

以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。

メール本文

件名：[spam] 【重要】ETC利用照会サービス – ログイン確認のお願い（受付番号: HX-10165083354）
送信者："ETC利用照会サービス事務局" <tthv.meisai.updateservice.mailtthv@club-royal.tokyo>

平素よりETC利用照会サービスをご利用いただき、誠にありがとうございます。
このメールは、ETC利用照会サービス (登録型) にご登録されていて、 420日間ログインのない方に
お送りしています。
お客様のユーザーIDは、解約予定日までにログインいただけないと登録が解約となります。
※ETC利用照会サービス (登録型)は450日間ログインがない場合、ユーザーIDの登録が自動的に解
約となります。

解約予定日 2025年02月22日

解約予定日までに下記のURLから本サービスにログインしていただきますと、ご登録は継続されま
す。ログイン後の特別な操作は必要ありません。
※登録が継続された際のお知らせはございません。
※パスワードがわからない場合も下記URLから新パスワードの発行を行えます。
h**ps://www.etc-meisai.jp/index/4P5VKT.html
なお、登録が自動に解約となりました場合も、再度登録いただければご利用いただけます。
注意:
※このメールは送信専用です。このアドレスに送信いただいても返信いたしかねますので、あらか
じめご了承願います。
※本メールに心当たりがない場合は、速やかに削除お願いいたします。
ご不明な点につきましては、ETC利用照会サービス事務局にお問い合わせください。

■ETC利用照会サービス事務局
年中無休 9:00~18:00
ナビダイヤル 0570-001069

本文にももう見飽きた、450日間ログインがないユーザーの自動解除の内容が記載されています。
またこのメールも4行目と5行目に同じ文句が書かれていますね。
なんか、こういった連呼は不審なメールに多き見られます。
『ETC利用照会サービス』さんのサイトに訪れてみると、トップページに大きくフィッシング詐欺メールの注意喚起が記載されています。
これだけ多いと恐らく相当業務に支障をきたしていることとお察しいたします。

実際にのETC利用照会サービスでは、450日間ログインがないと自動的に登録が解約されるようで、これをネタに偽サイトに誘い込んで同サービスのアカウント情報を盗み出すのが目的だと思われます。

件名の見出しを確認

この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

メールアドレスのドメインを確認

送信者として記載されているメールアドレスのドメイン(@より後ろ)は『club-royal.tokyo』
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
因みに『ETC利用照会サービス』が利用するメールアドレスを『Search Labs | AI』で検索してみると『admin@ml.etc-meisai.jp』と書かれています。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。
では一体このドメインはどこの誰のものなのでしょうか？
まさかこのドメインも偽装されていたりして…

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from C20250217189620.local (unknown [156.242.14.150])

ドメイン『club-royal.tokyo』を割当てているIPアドレスとこのReceivedフィールドに記載されているIPアドレスを比較してみましょう。
こちらが『aWebAnalysis』さんで取得したこのドメインに割当てているIPアドレスです。

案の定全然違いますよね、この結果からこの送信者が使ったとされる『club-royal.tokyo』を使ったメールアドレスは偽装であることが断定できます。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を『IP調査兵団』で導き出してみると、東京のJR神田駅西側付近であることが分かりました。

回線情報をよく見ると、プロバイダー名に『Xserver』とありますのでこの送信者は、このホスティングのユーザーで『sv1117.xserver.jp』は、数ある同社のサーバー番号のサブドメイン。

宛名を確認

通常大切なメールの冒頭には『○□△ 様』と言ったように『宛名』が書かれています。
でもこのメールにはその宛名が存在しません。
そりゃそうですよね、このメールの送信者は受信者の情報をメールアドレスしか知らないわけだから宛名なんて書きようがありません。
どうせどこかから漏洩したメールアドレスのリストを入手し、そのメール宛に無選別でこういったメールを送信しているのですから。

リンク先のドメインを確認

さて、本文に『ETC利用照会サービス』の公式ドメインを使って直書きされた詐欺サイトへのリンクですが、当然偽装されていて、実際に接続されるサイトのURLは以下の通りです。
【h**ps://etc-japan.com/ristouroku_service.html/】
(直リンク防止のため一部の文字を変更してあります)
これまた『ETC利用照会サービス』のドメインとは異なるものが利用されていますね。

先程と同様に『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。