『詐欺メール』「二回目特別定額給付金の特設サイトを開設しました」と、来た件

少なめながら内容は濃い

週の初め、月曜の朝は大量のブラックメール処理に追われます(;´Д｀)
今朝は週末が土曜日出勤だったこともあり、量的にはかなり少な目でホッとしました。
が、それも束も間…
受信箱をよくよく見ると、噂のヤツが自分にも送られてきた。
そう、それは「給付金詐欺メール」
こりゃ徹底調査すね！

とういわけで、今朝のブラックメール一覧がこちら。

少ないですね、いつもの週の半分以下でしょうか。

で、問題のが下から2つ目。
今巷で噂になってる例のヤツあるでしょ？！

「二回目特別定額給付金の特設サイトを開設しました」っての…

コイツ、フィッシング詐欺メールですよ！

今回のエントリーは濃いめの内容になるかもしれません(笑)

”go.jp”ドメインは政府行政機関のみ

では、いつものようにメールのプロパティーから見ていきます。
まずはメールソフトのヘッダーソースを表示させてと。

差出人は「soumu.go.jp <kyufukin@soumu.go.jp>」と記載されています。
が、本来差出人と同じのはずである”Return-Path”を見ると”kyufukin@soumu-go-jp.buzz”と
全然違うメールアドレス、それにドメインは格安の”.buzz”

お名前ドットコムで見ると、下の図のようにこのドメインの価格は99円/年

2年目は4,079円ですが、詐欺用の使い捨てなので間違いなく単年契約でしょうね(笑)

メールアドレスの”＠”より後ろの部分はドメインと呼ばれるインターネット上の「住所」
差出人のメールアドレスに書かれている”kyufukin@soumu.go.jp”はもちろん嘘なのですが、
記載されているドメインは”go.jp”。
くどいようですが、このメールアドレスは偽装で嘘です。
テレビニュースでの紹介されていますのでご存知の方も多いと思いますが、この”go.jp”という
ドメインは日本の政府機関や各省庁所管の研究所、特殊法人、独立行政法人しか登録できない
ドメイン。
詐欺師グループはこれを悪用して、メールアドレスのドメインがあたかも”go.jp”であるかの
ように偽装しています。
”Return-Path”で既にこの嘘は暴かれていますが、もっと確信が持てるようヘッダーを詳しく
解析していきます。

その前に、件名をご紹介しなきゃいけませんね(^^;
件名は「[spam] 二回目特別定額給付金の特設サイトを開設しました。」
もちろん、うちのメールサーバーではこのメールをブラックメールとして”spam”とスタンプ
を押し警戒を呼び掛けています。

メール発信元はロスアンジェルス

では、メールヘッダーにある”Received”フィールドを確認します。
これはメールサーバーを通過する際に書き込まれるもので時系列が古い方が詐欺師が発信
した際に押されたスタンプと言う事になります。
このメールには”Received”が4つで、一番古いものがこちら。

刻まれたドメインは”soumu-go-jp.buzz”でIPアドレスは”157.52.230.149”
この組合せが本物かどうか確認してみます。

これで見ると、リモートホストドメインとIPアドレスは合致しています。
そしてこのドメインは2020年10月18日にアメリカのアリゾナ州フェニックスから申請登録され
契約はやはり1年ですね。
ドメインが申請されたのはフェニックスでしたが、このIPアドレスの今現在の割り当て国は
”アメリカ合衆国”とあります。
IPアドレスはインターネットに接続していれば必ず割り当てられるもの。
では、このIPはアメリカ合衆国のどの辺りで利用されているのか気になりますよね。

検索すると”ここ”らしいです。

あまりにピンスポットなのでぼかしていますが、ロスアンジェルスのリトルトーキョー辺り
でしょうか。

運営しているウェブサーバーの在処は？

本文ですがこんな感じです。

日本語に違和感はありません。
そして内容もそれらしく予算を揚げて詳しく書いてありますね。

このメールに付いている外部へのリンク箇所は2つ。

1つは赤文字で「特別定額給付金ポータルサイト（サイトへリンク）」と書かれてる部分で
この部分のURLはこちら。

これはあり得ませんね、プロトコルが”http”だから暗号化されてないセキュリティーの
甘い危険なサイト。
総務省がこのような安全でないサイトを構築するはずがありません。
そしてやはり使われているドメインは”.buzz”…相変わらず使い捨てドメインですね(^^;

もう一つのリンクは一番下の「総務省」と書かれたバナーのところで、URLはこちら。

これが本家本元の総務省サイトへのリンクです。

さて、先ほどと同じように”kyufukio-soumu-go-jp.buzz”ドメインについて調べてみます。

このドメインは”173.82.120.101”ってIPアドレスに現在は割り当てられています。
そして、申請日時と申請者はメールで調べたドメイン”soumu-go-jp.buzz”と全く同じ。
そして現在このIPアドレスの所在地はカリフォルニア州のサンタ・クラリタと言う街で
使用されているようです。

どちらにしても、日本政府組織がアメリカでウェブを立ち上げることは考えられません。
こうやって見ると、どれ1つとってもこのメールとウェブサイトに信憑性が全く無い事が
分かりますよね！

冒険旅行は障りだけね！

ちょっとだけ騙されてみました(;^_^A
リンクに繋いでみると、まずトレンドマイクロで既に対策されていて接続が遮断されました。

構わず先へ進んでみます。

すると再びウィルスバスターが遮断。

これだけ世間で騒がれているので当然と言えば当然ですよね！

もちろん、先へ進みますよ。

あっ、これ、テレビでも見たサイトだ！(笑)

テレビでやってたように「住民基本台帳に記録されている/者/在日労働者/在日留学生」の
「者」って部分にやはり違和感を覚えますね。(笑)
因みに一番下の「関連サイト・関連リンク」は全て正規サイトへのリンクでした。

「オンライン申請」ってボタンを押すと詐欺サイトの核心に繋がります。
開いたページは「動作環境の確認 ｜ ぴったりサービス」ってへんてこな名前のページ。
ページの内容はこちら。

何処が動作環境の確認？…
これ、動作環境に全く関係ない情報入力フォームのページじゃないですか！
これで動作環境確認ができるのでしょうか？(笑)

それに”ぴったりサービス”って？？
何処かで使ったマッチングサイトのページ名称の変更忘れですかね？(爆笑)
きっと入力フォームの使いまわしなんでしょうね(笑)

調査はこれで終わり。
あれだけメディアに取り上げられてるんで騙される人はいないと思いますが
一応詳しく調べてみましたがいかがでしたでしょうか？
ドメインやIPアドレスで結構詳しいところまで分かるんです。
こういう情報を使って犯人を追跡してないんでしょうかね？

今現在のサイトは稼働中です！
皆さんくれぐれもお気を付けて～