『詐欺メール』SBI証券から『【ご確認ください】口座安全確認のお知らせ』と、来た件
★フィッシング詐欺メール解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
★証券会社に成り済ます悪質なメール終息気味ですが、まだ確認されていますので資産運用されている方はご注意ください★
- 件名の見出しを確認
- メールアドレスのドメインを確認
- 宛名を確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
では、進めてまいります。
前書き
また証券会社の名を騙る怪しいメールが再び急増中で、増えてきているのはSBI証券に成り済ますもの。
これ合計で18通あるのですが、それぞれ件名は異なるものの中身はどれも全く同じ内容。
今回はこの中から一番新しく新鮮なものをチョイスしてご紹介していきますが、一応全ての件名の一覧も付けておきますので、それぞれについて併せてご注意ください。
【ご確認ください】 口座安全確認のお知らせ
【SBI証券】 ログイン制限に関する重要なご案内
【緊急確認】補償対象となるお客様へのご連絡
【対応必須】 SBI証券セキュリティ確認のご案内
【本人確認未完了】 SBI証券からのご案内
【システム通知】 アクセス挙動に関するご案内 (自動送信)
【SBI証券】 ログイン制限に関する重要なご案内
【最終通知】 補償申請未完了の方へ (5月31日締切)
【SBI証券】 本人確認と補償申請のお願い (重要)
【SBI証券】 ログイン制限に関する重要なご案内
【重要】 SBI口座への不審アクセスに関するお知らせ
【ご確認ください】 口座安全確認のお知らせ
【対応必須】 SBI証券セキュリティ確認のご案内
【最終通知】 補償申請未完了の方へ (5月31日締切)
【緊急確認】 補償対象となるお客様へのご連絡
【本人確認未完了】 SBI証券からのご案内
【SBI証券】 ログイン制限に関する重要なご案内
【SBI証券】 本人確認と補償申請のお願い (重要)
では、今回も詳しく見ていくことにしましょう。
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
メール本文
ここから本文
↓↓↓↓↓↓
件名:[spam]【ご確認ください】口座安全確認のお知らせ
送信者: “SBI証券セキュリティ確認のご案内" <support_important@sbi.co.jp>
【SBI証券】緊急:補償申請と口座確認のお願い(対応期限:2025年5月31日)
お客様各位
重要なお知らせです。現在、お客様の証券口座において、第三者による不正アクセスの可能性が確認されております。
このまま本人確認と補償申請が行われない場合、口座は一時凍結され、出金・取引等の操作が制限されます。
また、期限内に手続きが完了しなかった場合は、補償対応が適用されず、損失が発生しても責任を負いかねます。
現在の状態は「仮制限中」です。
下記期日までに必ず本人確認を行い、口座の安全性を確保してください。
【対応期限】2025年5月31日(日)23:59(厳守)
【補償対象条件】
・2025年4月以降、不審なアクセス履歴が確認された場合
・ログイン元が海外または登録端末以外であった場合
・二段階認証が未設定の場合
【未対応時のリスク】
・全機能の一時停止(取引/出金/ログイン)
・補償対象からの除外
・証券監査記録へのマーク(再開に数週間要する可能性あり)
【手続き方法】
以下の補償申請専用ページにアクセスしてください。
※リンクをクリックできない場合は、ブラウザにコピー&貼り付けしてください。
補償申請専用ページはこちら
この案内は一度限りです。
繰り返しの案内は行いませんので、必ず期限内の対応をお願いいたします。
SBI証券では、すべてのお客様に安全な取引環境を提供するため、緊急対応を実施しております。
少しでも不明点がございましたら、速やかにカスタマーセンターへご相談ください。
SBI証券公式サイト
※本メールは送信専用です。返信には対応しておりません。
※必要に応じてお電話にて個別連絡を行う場合がございます。
↑↑↑↑↑↑
本文ここまで
不正アクセスが目的の詐欺師が、不正アクセスについて語っているのがとても滑稽に思えて仕方りません(笑
重要なお知らせとして、第三者による不正アクセスの可能性が確認されていて、私の口座は現在『仮制限中』だそうです。
今月末までに本人確認を行って安全性を確保するように求めています。
その他にも色々ガチャガチャ書かれていますが、全て受信者の不安を煽る詐欺師の常套句。
なんだかんだ不安にさせてリンクに誘い込むのが目的です。
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
メールアドレスのドメインを確認
送信者として記載されているメールアドレスのドメイン(@より後ろ)は『sbi.co.jp』
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
実にSBI証券っぽいドメインですよね。
でもこのドメインは全く別の『ソフトブレーン・インテグレーション株式会社』と言う企業のもの。
もちろんそのような企業がSBI証券の不正アクセスメールを送信するはずもないので、当然偽装に使われた被害者です。
因みにSBI証券が利用するメールアドレスのドメインは『sbisec.co.jp』です。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。
では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。
Received: from pgetop011.cn (unknown [180.178.33.42])
ここの末尾に記載のIPアドレスは、送信サーバーが自身で書き込むもので、偽装することはできません。
『sbi.co.jp』なんて嘘ばかりで、本来ならここには、送信者のメールアドレスと同じドメインが記載されるはずですがそれとは全く異なる『pgetop011.cn』なんて中国のドメインが記載されていますね。
まあこれも送信者の物かどうか…
では、試しにドメイン『pgetop011.cn』を割当てているIPアドレスとこのIPアドレスを比較してみましょう。
こちらが『Grupo』さんで取得したこのドメインに割当てているIPアドレスです。
全然違いますよね、この結果からこのReceivedフィールドの『pgetop011.cn』と言うドメインも偽装であることが断定できます。
あと、送信者を特定できるのはこのReceivedフィールドの末尾にあるIPアドレスのみ。
このReceivedフィールドのIPアドレスからメールの発信地を『IP調査兵団』で導き出してみると、香港付近と出ました。
最近この香港辺りは、怪しいメール発信地のトレンドです。
宛名を確認
このような大切なメールの冒頭には通常『○◇△ 様』と言ったように『宛名』が書かれていますが、でもこのメールにはその宛名が存在しません。
でも仮にもしこれが本当にSBI証券からだとすれば、ユーザーの氏名やハンドル名を絶対知っているはずですから宛名が無いのはとても不自然です。
ならどうしてこのような書き方をするのでしょうか?
その原因は、このメールの送信者は受信者の情報をメールアドレスしか知らないわけだから宛名なんて書きようがないからです。
どうせどこかから漏洩したメールアドレスのリストを入手し、そのメール宛に無選別でこういったメールを送信しているのでしょう。
リンク先のドメインを確認
さて、本文の『補償申請専用ページはこちら』と『SBI証券公式サイト』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://sb-supver.pn0t80.com/page?token=cb2ec09f-178d-4cd6-88c1-d40c39640a10】
(直リンク防止のため一部の文字を変更してあります)
これまたSBI証券のドメインとは異なるものが利用されていますね。
先程と同様にこのドメインを割当てているIPアドレスを『aWebAnalysis』さんで取得してみます。
この情報が正しければ、このドメインの取得者の所在地はスウェーデンです。
割当てているIPアドレスは『104.21.96.1』
『IP調査兵団』でこのIPアドレスからそのロケーション地域を調べると、詐欺サイト設置場所は、カナダのトロント市庁舎付近であることが分かりました。
これは最近のトレンドで多くの詐欺サイトがこの付近に設置されています。
リンクを辿ってみると、一旦はウイルスバスターにブロックされましたが、解除して進むとこのようなページが開きました。
公式サイトとはURLが全く異なるので、これは本物そっくりの偽ログインページです。
当然、ここにユーザーネームとパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。
この先のページでこのように、登録情報の確認と称し更に取引パスワードを盗み取られた上で詐欺の被害に遭うことになります。
まとめ
SBI証券が、自社のものではないドメインを使ったメールアドレスでスウェーデンからユーザーにメールを送り、カナダのトロント市庁舎付近に設置されたウェブサーバーにあるサイトに誘導するって絶対おかしいです!
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;