『詐欺メール』『【※通知※】MyJCB 不完全な認証【FR-93662】』と、来た件
★フィッシング詐欺メール解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
★証券会社に成り済ます悪質なメール終息気味ですが、まだ確認されていますので資産運用されている方はご注意ください★
- 件名の見出しを確認
- メールアドレスのドメインを確認
- 宛名を確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
では、進めてまいります。
前書き
仕事が忙しくて週末はメールボックスもブログも放置…😅
月曜日に恐る恐るメールボックスを開くも、意外とメールは少なく157通と少なく、ほっとして胸をなでおろしたのですが、そんな中にも当然のように怪しいメールは存在して、その中から今回はJCBカードに成り済ますものをチョイスしてご紹介しようと思います。
では、今回も詳しく見ていくことにしましょう。
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
メール本文
ここから本文
↓↓↓↓↓↓
件名:[spam] 【※通知※】MyJCB 不完全な認証【FR-93662】
送信者:『JCBカード会員』"," <dogxcfjpj@card.visa-info-co-jp.net>
お客様の MyJCB アカウントに、不正利用の疑いのある活動が検出されました。
お客様ご自身による操作か確認をお願いいたします。
※ 活動詳細
日時:2025-06-15 18:07:36
内容:異常な取引試行
場所:アメリカ (IP:136.119.129.135)
金額: 30,157 円
⚠ セキュリティ警告
- この取引に心当たりがない場合は、直ちに下記ボタンからアカウントを保護してください
- JCBはメールや電話でパスワードやカード情報をお尋ねすることはありません
- 不審なメールのリンクや添付ファイルは開かないでください
- ご不明な点はJCBカスタマーセンター(0120-794-082)までご連絡ください
今すぐアカウントを確認
セキュリティのご注意:
3日以内にご対応をお願いいたします。
対応がない場合、アカウントが一時停止されます。
本メールは自動送信専用です。ご返信はご遠慮ください。
JCB株式会社
©JCB Co., Ltd. 2000-2025 All rights reserved.
↑↑↑↑↑↑
本文ここまで
このメールは当然JCBカードからではないことを最初に書いておきます。
このメールにはおかしなところが何点かあって、一つ一つ見ていくことにします。
まず『活動』と言う表現。
私、こういったメールに慣れてしまいあまり違和感を感じないのですが、『不正利用の疑いのある活動が検出』や『活動詳細』ってよくよく考えるとおかしくありませんか?
この「活動」とは、「何かを達成したり、目的に向かって動くこと」で、このメールの趣旨からすると活動ではなく『取引』や『利用』になると思います。
恐らく、このメールの送信者は日本人ではなく、別の言語で書いたものを機械的に翻訳したため『取引』や『利用』ではなく『活動』として翻訳されてしまったことと思います。
そして次におかしな点は、末尾に書かれている『JCB株式会社』と言う社名。
このメールがJCBカードからだとすれば、本当の社名は『株式会社ジェーシービー』です。
まさか自社名を間違って異なる社名を堂々と署名欄に書くなんて信用問題に関わります!
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
メールアドレスのドメインを確認
送信者として記載されているメールアドレスのドメイン(@より後ろ)は『card.visa-info-co-jp.net』
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
えっ、あれ?
このメールはJCBカードを騙るものでしたよね?
でもこのドメインにはなぜか『visa』の文字が…😓😓
ここまでくるともう何でもありですね。
因みにJCBカードが利用するメールアドレスのドメインは『jcb.co.jp』です。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。
では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。
Received: from card.visa-info-co-jp.net (card.visa-info-co-jp.net [176.117.79.63])
本来ならここには、送信者のメールアドレスと同じドメインが記載されるはずですがそれとは全く異なる『』なんてドメインが記載されていますね。
これはどのような意味があるのでしょう?
ここの末尾に記載のIPアドレスは、送信サーバーが自身で書き込むもので、偽装することはできません。
まずは『Grupo』さんでこのドメインに割当てているIPアドレスを取得してみます。
割当てているIPアドレスとReceivedフィールドのIPアドレスが合致したので、この送信者は自身のメールアドレスを偽ることなく何食わぬ顔でこのメールを送信してきたことになります。
次にこのドメインに関する詳しい情報を『Whois』さんで取得してみます。
敢えて詮索しませんが、持ち主の氏名やおおよその住所、電話番号が筒抜けでヤバいですね。。。
このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を『IP調査兵団』で導き出してみると、ポーランドのワルシャワ付近です。
宛名を確認
このような大切なメールの冒頭には通常『◎◇△ 様』と言ったように『宛名』が書かれていますが、でもこのメールにはその宛名が存在しません。
でも仮にもしこれが本当にJCBカードからだとすれば、ユーザーの氏名を絶対知っているはずですから宛名が無いのはとても不自然です。
ならどうしてこのような書き方をするのでしょうか?
その原因は、このメールの送信者は受信者の情報をメールアドレスしか知らないわけだから宛名なんて書きようがないからです。
どうせどこかから漏洩したメールアドレスのリストを入手し、そのメール宛に無選別でこういったメールを送信しているのでしょう。
リンク先のドメインを確認
さて、本文の『今すぐアカウントを確認』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://921kv.com/info-jp】
(直リンク防止のため一部の文字を変更してあります)
これまたJCBカードのドメインとは異なるものが利用されていますね。
このドメインに関する詳しい情報を『Grupo』さんで取得してみます。
この情報が正しければ、『Registrant Country: TH』とあるのでこのドメインの取得者の所在地はタイですが、それ以外の情報は完全にプロテクトされています。
割当てているIPアドレスは『104.21.64.1』
『IP調査兵団』でこのIPアドレスからそのロケーション地域を調べると、詐欺サイト設置場所は、カナダのトロント市庁舎付近であることが分かりました。
これは最近のトレンドで多くの詐欺サイトがこの付近に設置されています。
リンクを辿ってみると、一旦はウイルスバスターにブロックされましたが、解除して進むと開いたのは『Not Found』とだけ書かれた真っ白なページ。
恐らくこのサイトを設置したレンタルサーバーがその危険を察知して削除したものかと思いますが、ウイルスバスターにブロックされたことが、ここには以前危険なサイトが存在していたことを物語っていますね。
まとめ
JCBカードが、自社のものではないドメインを使ったメールアドレスで、ポーランドのワルシャワからユーザーにメールを送り、カナダのトロント市庁舎付近に設置されたウェブサーバーにあるサイトに誘導するって絶対おかしいです!
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;