『詐欺メール』『【最終通知】お客様のWorld Presentポイントが間もなく無効になります』と、来た件


★フィッシング詐欺メール解体新書★


スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。


いつもご覧くださりありがとうございます!

☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆

  • 件名の見出しを確認
  • メールアドレスのドメインを確認
  • 宛名を確認
  • リンク先のドメインを確認

できる限り分かりやすく説明していいます。
最後までお読みいただても5分程度ですのでごゆっくりご覧ください。
では、進めてまいります。


前書き

今回は、『VJAカード』に成り済ます不審なメールのご紹介となります。

最近ほんと多いですね、このVJAカードと称する悪質なメール。
され、今回はどのような内容なのでしょうか。
詳しく見ていくことにしましょう。


以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。


メール本文


ここから本文
↓↓↓↓↓↓



件名:[spam] 【最終通知】お客様のWorld Presentポイントが間もなく無効になります
送信者:"VJAカードなお知らせ" <office@xzdgllo.com>


〇◇△ 様

重要なお知らせです。
お客様が保有されているWorld Presentポイント(15,946 ポイント) の有効期限が迫っています。
2025年3月31日(月)を過ぎると、このポイントは完全に失効し、取り戻すことができません。

■ 今すぐお手続きください
このポイントをVポイントへ移行することで、引き続きご利用いただけます。
ただし、移行手続きの期限を過ぎた場合、ポイントは消滅し、いかなる理由があっても回復できません。

────────────────────────────────
【ポイント移行手続きの詳細】
────────────────────────────────

▼ 今すぐVポイントへ移行する
h**ps://v-vpass-jp.hxsss888.com/?convert=vpRv13UIsfHx9fWyJII0EjmV

■ 交換期限:2025年3月31日(月)まで
※ これが最後の通知となります。手続きが完了しない場合、今後の対応はできかねます。

────────────────────────────────
【重要事項】
────────────────────────────────
※ 期限後はポイントの救済措置は一切ございません。
※ Vpassカードの有効期限およびセキュリティコードが必要です。

────────────────────────────────
【お問い合わせ窓口】
────────────────────────────────
VJAグループ カスタマーサポート
〒103-0016 東京都中央区日本橋小網町14-1
TEL:03-5643-0011(平日9:00~17:00)

※本メールは送信専用のため、ご返信いただいても対応いたしかねます。
(C) 2025 VJA. All Rights Reserved.


↑↑↑↑↑↑
本文ここまで



『World Presentポイント』の有効期限が迫っているので、Vポイントへ移行するように促しています。
この『World Presentポイント』とは、クレジットカードのご利用金額に応じて付与されるポイントで、景品との交換や他社のポイントプログラムに移行できるサービス。
このメールは、これをネタに偽サイトに誘い込み、VJAグループのアカウントとクレジットカード情報を盗み出そうとする悪質なものです。


件名の見出しを確認

この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。


メールアドレスのドメインを確認

送信者として記載されているメールアドレスのドメイン(@より後ろ)は『xzdgllo.com
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
因みにVJAが利用するメールアドレスのドメインは@vpass.ne.jp』です。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。


Received: from xzdgllo.com (20.230.240.35.bc.googleusercontent.com [35.240.230.20])


ここの末尾に記載のIPアドレスは、送信サーバーが自身で書き込むもので、偽装することはできません
このドメインに関する詳しい情報を『Grupo』さんで取得してみます。

全然違いますよね、この結果からこの送信者が使ったとされる『xzdgllo.com』を使ったメールアドレスは偽装であることが断定できます。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を『IP調査兵団』で導き出してみると、シンガポールの山中であることが分かりました。


宛名を確認

このメールの冒頭には『〇◇△ 様』と『宛名』が書かれています。
でも仮にもしこれが本当にVJAからだとすれば、ユーザーの氏名やハンドル名を知っているはずですからこのような抽象的な宛名はとても不自然です。
ならどうしてこのような書き方をするのでしょうか?
その原因は、このメールの送信者は受信者の情報をメールアドレスしか知らないわけだから宛名なんて書きようがないからです。
どうせどこかから漏洩したメールアドレスのリストを入手し、そのメール宛に無選別でこういったメールを送信しているのでしょう。


リンク先のドメインを確認

さて、本文に直書きされた詐欺サイトへのリンクですが、以下の通りです。
h**ps://v-vpass-jp.hxsss888.com/?convert=vpRv13UIsfHx9fWyJII0EjmV
(直リンク防止のため一部の文字を変更してあります)
これまたVJAのドメインとは異なるものが利用されていますね。

先程と同様に『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。

このドメインに関する詳しい情報を『Whois』さんで取得してみます。

この情報が正しければ、このドメインの取得者の所在地はオランダで、取得代行したのは『Realtime Register B.V.』で、オランダのズウォレに本社を置くドメイン名登録サービスプロバイダーです

割当てているIPアドレスは『172.67.148.15
IP調査兵団』でこのIPアドレスからそのロケーション地域を調べると、詐欺サイトではありがちな、カナダのトロント市庁舎付近であることが分かりました。

リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。

公式サイトとはURLが全く異なるので、これは本物そっくりの偽ログインページです。
『本日の受取は終了しました』と書かれていますね。
でも各グループへのリンクは有効です。
試しに『りそな銀行』のリンクを押してみると以下のページが開きました。

URLは『ht**ps://www3.vpass.ne.jp/mem/top/index.jsp?cc=016
ドメインが『vpass.ne.jp』なので、これは偽サイトではなく公式サイトです。
ほかのグループ銀行のURLも確認しましたが、どれも公式サイトのドメインが利用されていました。
どうやらこのメールは詐欺目的ではなく愉快犯による迷惑メールの類だったようです。


まとめ

VJAが、自社のものではない中国のドメインを使ったメールアドレスで、遠くシンガポールの山中からユーザーにメールを送り、カナダのトロント市庁舎付近に設置されたウェブサーバーにあるサイトに誘導するって絶対おかしいです!

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;