『詐欺メール』『【e+より】お客様のアカウントが退会対象となっています』と、来た件
★フィッシング詐欺メール解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
- 件名の見出しを確認
- メールアドレスのドメインを確認
- 宛名を確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分程度ですのでごゆっくりご覧ください。
では、進めてまいります。
前書き
以前、このようなブログエントリーを書いたことがあります。
まず、そちらをチラッとご覧いただけると良いかと思います。
『詐欺メール』『【チケットぴあ】マイページをご確認ください!』と、来た件
これは『チケットぴあ』と称す者が、長期間ログインがないユーザーの会員退会処理を行っていることを通知するメールで、偽物がチケットぴあを騙ってリンクに誘い込んで同サイトのアカウントと個人情報やクレジットカードの情報を盗み出そうとするものでした。
そして今回ご紹介するのは、同様にコンサート等のチケット販売を行う『イープラス』に成り済ます不審なメールのご紹介となります。
では、そのメールを見ていただきましょう。
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
メール本文
ここから本文
↓↓↓↓↓↓
件名:[spam] 【e+より】お客様のアカウントが退会対象となっています
送信者:"eplus" <ep_members@eplus.co.jp>
イープラス
平素よりイープラスをご利用いただき、誠にありがとうございます。
このたび、イープラスではお客様の個人情報をより一層安全に保護するため、イープラス会員規約第7条1項-(8)に基づき、2025年3月4日6時24分以降ログインがない会員様の退会処理を進めております。
該当するお客様には、こちらの「○□△@******.***」宛てより「【重要】イープラス会員の退会に関するご連絡」というタイトルでご案内しております。
つきましては、退会対象のイープラス会員IDで引き続きイープラスをご利用いただく場合、2025年03月31日(月)23時59分までに一度ログインをお願いいたします。
▼ ログインはこちらから
※ログイン後は、マイページにて登録情報に変更がないかをご確認ください。
なお、退会をご希望される場合は特段の手続きは不要です。弊社にて自動的に退会処理を行わせていただきます。
また、eplusアプリをご利用中のお客様は、退会処理後にeplusアプリとのイープラスID連携が解除されますので、予めご了承ください。
【ご注意】
弊社よりお送りするメールが、受信環境等により未着となる場合がございますので、何卒ご了承ください。
お客様にはお手数をおかけしますが、ご理解いただけますようお願い申し上げます。
「イープラス ヘルプページ」 [こちら]
ご注意:このメールは送信専用アドレスから配信されています。本メールへの返信には対応しておりませんのでご了承ください。
このメッセージは ○□△@******.*** 様向けに送信されています。
↑↑↑↑↑↑
本文ここまで
書かれている内容は、サービス名が異なるものの一語一句全く同じことが書かれています。
察するに、チケットぴあを騙った時のメール本文をイープラスに流用したのでしょう。
確かにイープラスでも、1年以上のユーザーを対象に長期間ログインがないユーザーの会員退会処理を行っているようですが、このように『イープラス会員規約第7条1項-(8)』などと言う規約は、チケットぴあのメールからの転載で実際にはこのような規約は無いはずです。
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
メールアドレスのドメインを確認
送信者として記載されているメールアドレスのドメイン(@より後ろ)は『eplus.co.jp』
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
確かにこのドメインはイープラスさんのもので間違いありません。
でもこのメールは明らかに不審なメールなので偽装されているに違いありません。
では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。
Received: from help-saioncard.co.in (unknown [147.78.246.132])
ほらほら、ここには本来送信者のメールアドレスと同じドメインが記載されるはずですが、それとは全く異なるドメインが記載されていますね。
ここの末尾に記載のIPアドレスは、送信サーバーが自身で書き込むもので、偽装することはできません。
ドメイン『eplus.co.jp』を割当てているIPアドレスとこのIPアドレスを比較してみましょう。
こちらが『aWebAnalysis』さんで取得したこのドメインに割当てているIPアドレスです。
案の定全然違いますよね、この結果からこの送信者が使ったとされる『eplus.co.jp』を使ったメールアドレスは偽装であることが断定できます。
では、Receivedフィールドに記載のドメインはどうでしょうか?
今度はIPアドレス以外の詳しい情報まで取得したいので『Grupo』さんでそれらを取得してみます。
割当てているIPアドレスがReceivedフィールドのIPアドレスとピッタリ合致したので、この送信者の本当のメールアドレスのドメインは『help-saioncard.co.in』であることが分かりました。
そしてこのドメインの申請取得者は、米国のテキサス州在住であることも分かりますね。
このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を『IP調査兵団』で導き出してみると、東京都江東区付近であることが分かりました。
宛名を確認
通常大切なメールの冒頭には『○□△ 様』と言ったように『宛名』が書かれています。
でもこのメールにはその宛名が存在しません。
この送信者が本当にイープラスの人間なら私の氏名を知っているはず。
ならどうして宛名が無いのでしょうか?
その原因は、このメールの送信者は受信者の情報をメールアドレスしか知らないわけだから宛名なんて書きようがないからです。
どうせどこかから漏洩したメールアドレスのリストを入手し、そのメール宛に無選別でこういったメールを送信しているのでしょう。
リンク先のドメインを確認
さて、本文の『▼ ログインはこちらから』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://ep-eulpaan.jp/?/cCqbwF3QYLo…..】(あまりに長いので割愛しました)
(直リンク防止のため一部の文字を変更してあります)
今度はイープラスのドメインとは異なるものが利用されていますね。
先程と同様にこのドメインに関する詳しい情報を『Grupo』さんで取得してみます。
この情報が正しければ、このドメインの取得者は、大手ホスティングサービスの『エックスサーバー』さん。
恐らくこのサイト管理者は、このエックスサーバーを介してこのドメインを取得したのでしょう。
ということは、エックスサーバーさんが情報を開示してくれればこのサイト管理者は簡単に分かると思います。
まあ、実際に被害者が訴えないと簡単に我々には情報開示なんてしてくれないと思いますが…
割当てているIPアドレスは『172.67.220.27』
『IP調査兵団』でこのIPアドレスからそのロケーション地域を調べると、詐欺サイトではありがちな、カナダのトロント市庁舎付近であることが分かりました。
リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。
公式サイトとはURLが全く異なるので、これは本物そっくりの偽ログインページです。
当然、ここにIDとパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。
この先のページで会員情報の更新と称し更に個人情報やクレジットカードの情報を盗み取られた上で詐欺の被害に遭うことになります。
まとめ
イープラスが、自社のドメインとは全然違うURLを使い、カナダのトロント市庁舎付近に設置されたウェブサーバーにあるサイトに誘導するって絶対おかしいです!
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;