『詐欺メール』au PAYから『【重要】54178ポイントの失効まで残りわずかです』と、来た件
★フィッシング詐欺メール解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
★証券会社に成り済ます悪質なメール終息気味ですが、まだ確認されていますので資産運用されている方はご注意ください★
- 件名の見出しを確認
- メールアドレスのドメインを確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
では、進めてまいります。
前書き
今回は、au Payに成り済まし、auポイントサービスを名乗る不審なメールのご紹介となります。
では、今回も詳しく見ていくことにしましょう。
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
メール本文
ここから本文
↓↓↓↓↓↓
件名:[spam]【重要】54178ポイントの失効まで残りわずかです – 送信日時:2025年6月2日
送信者:"auポイントサービス" <kddi.admin.point-jifncx-mail@lifehacker.jp>
【重要】ポイント有効期限に関するご案内
******@*****.*** 様
平素よりau PAYサービスをご利用いただき、誠にありがとうございます。
現在、お客様のポイントアカウントには54178ポイントが貯まっております。そのうち25000ポイントは、以前のキャンペーンで獲得したポイントです。これらを含むすべてのポイントは、3営業日後に有効期限を迎え、失効します。
大切なポイントを有効にご活用いただくためにも、有効期限内でのご確認・ご利用をおすすめいたします。
ポイントを確認する
※有効期限を過ぎたポイントは失効となり、後日利用することはできませんので、あらかじめご了承ください。
送信日時:2025年6月2日
au PAYお客様サポート
0120-907-866(通話料無料)
受付時間:9:00~20:00(年中無休)
利用規約 プライバシーポリシー
©2025 KDDI CORPORATION
↑↑↑↑↑↑
本文ここまで
『ポイント有効期限に関するご案内』と題されたこのメールは、今までに貯めたポイントが3営業日後に有効期限を迎え失効するとして、リンクからそのポイントを確認するように伝えるもの。
末尾の署名欄にある『au PAYお客様サポート 0120-907-866』と言う電話番号は、確かにau Payの番号ですが、その窓口は新規入会デスクでお客様サポートではありません。
メールの署名欄に他の部署の電話番号を書きますかね?😓
当然このメールは、クレジットカードの情報を盗み出そうとしてくるのですが、ポイント確認から果たしてどのようにクレジットカード情報を盗み出そうとするのか。
その手口、気になりますよね。
では、探っていくことにしましょう。
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
メールアドレスのドメインを確認
送信者として記載されているメールアドレスのドメイン(@より後ろ)は『lifehacker.jp』
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
因みにこのドメイン『ライフハッカー・ジャパン』さんのドメインで、au Payとは何の関係もありません。
恐らく偽装に使われてしまったのでしょうね。
では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。
Received: from cbts.net (unknown [2.59.154.51])
ここの末尾に記載のIPアドレスは、送信サーバーが自身で書き込むもので、偽装することはできません。
本来ならここには、送信者のメールアドレスと同じドメインが記載されるはずですがそれとは全く異なる『cbts.net』なんてドメインが記載されていますね。
これで『lifehacker.jp』を使ったメールアドレスは偽装確定です。
では、試しにドメイン『cbts.net』を割当てているIPアドレスとこのIPアドレスを比較してみましょう。
こちらが『aWebAnalysis』さんで取得したこのドメインに割当てているIPアドレスです。
全然違いますよね、Receivedに記載の『cbts.net』と言うドメインも偽装であることが断定できます。
この情報が正しければ、このドメインの取得者は、これらの調査では頻繁に見掛ける中国の方です。
割当てているIPアドレスとReceivedフィールドのIPアドレスが合致したので、この送信者は自身のメールアドレスを偽ることなく何食わぬ顔でこのメールを送信してきたことになります。
このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を『IP調査兵団』で導き出してみると、香港付近です。
最近この香港辺りは、怪しいメール発信地のトレンドです。
リンク先のドメインを確認
さて、本文の『ポイントを確認する』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://kddl4tb-carporotlan.51hkyh.com.cn/%F0%9D%90%…..】(あまりに長いので割愛しました)
(直リンク防止のため一部の文字を変更してあります)
これまた au Pay のドメインとは異なるものが利用されていますね。
次にこのドメインに関する詳しい情報を『Whois』さんで取得してみます。
この情報が正しければ、このドメインの取得者の所在地は、お名前から察するに中国っぽいですね。
再び『aWebAnalysis』さんで割り当てているIPアドレスを取得してみます。
割当てているIPアドレスは『172.67.131.31』
『IP調査兵団』でこのIPアドレスからそのロケーション地域を調べると、詐欺サイト設置場所は、カナダのトロント市庁舎付近であることが分かりました。
これは最近のトレンドで多くの詐欺サイトがこの付近に設置されています。
リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。
公式サイトとはURLが全く異なるので、偽ログインページです。
適当に入力して先に進んでみるとこのように商品交換ページに移動しました。
よ~く見てください。
どれもポイント交換ではなく、ポイントプラス金額が書かれていますよね。
恐らく、賞品を選び交換ページに行くと、この金額を支払わせるためにクレジットカードの情報を求めてくるんでしょう。
そしてその情報を盗み取られた上で詐欺の被害に遭うことになります。
まとめ
au Pay が、自社のものではないドメインを使ったメールアドレスで、香港からユーザーにメールを送り、カナダのトロント市庁舎付近に設置されたウェブサーバーにあるサイトに誘導するって絶対おかしいです!
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;