『詐欺メール』ヤマト運輸から『【重要】配送情報の更新確認のお願い』と、来た件


★フィッシング詐欺メール解体新書★


スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。


いつもご覧くださりありがとうございます!

☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
★証券会社に成り済ます悪質なメール終息気味ですが、まだ確認されていますので資産運用されている方はご注意ください★

  • 件名の見出しを確認
  • メールアドレスのドメインを確認
  • リンク先のドメインを確認

できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
では、進めてまいります。


前書き

今回も簡易更新となります。
先日全く同じ件名でそんな『日本郵政』に成り済ます不審なメールをご紹介したのが記憶に新しいところですが、今回は同じ件名仲が『ヤマト運輸』の名を騙る怪しいメールのご紹介となります。
このメールも一瞬でそれとわかる、末尾の締めの部分だけ水色背景のカラーリングされた特徴的なデザインとなっていますね。

では、今回も見ていくことにしましょう。


以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。


メール本文


ここから本文
↓↓↓↓↓↓



件名:[spam]【重要】配送情報の更新確認のお願い
送信者: “クロネコ ヤ マ ト" <kurokihiroki92@fuga.ocn.ne.jp>


【重要】配送情報の更新確認のお願い
平素よりクロネコヤマトの宅配便をご利用いただき、誠にありがとうございます。

重要なお知らせ

お客様がご利用の荷物(お問い合わせ番号:[伝票番号])につきまして、
宛先情報の不備により配達が保留されております。

■現在の状況

配達保留中(宛先情報確認待ち)
最終更新期限:[日付]17:00まで
■必要な対応

クロネコヤマト公式サイトにアクセス
「お問い合わせ番号」で荷物を検索
「宛先情報の確認・修正」を選択
正しい情報を入力し送信

情報確認ページへ

■対応期限
本メール到着後48時間以内
(未対応の場合、荷物が返送される場合があります)

■お問い合わせ先
ヤマト運輸カスタマーセンター
03-8389-6956(通話無料)
受付時間:8:00~21:00(年中無休)

■重要注意事項

・既に情報更新済みの場合は無視してください
・本メールは送信専用です(返信不可)
・心当たりのない場合は破棄願います

ご不明な点がございましたら、お気軽にお問い合わせください。

引き続きクロネコヤマトをご愛顧賜りますようお願い申し上げます。

配信停止


↑↑↑↑↑↑
本文ここまで



まあ、説明は不要ですよね。
ありもしない宅配の宛先不備を装ってリンクに誘い込む物流企業の典型的な詐欺メールです。

冒頭に『クロネコヤマトの宅配便』とありますが、クロネコヤマトなら『宅急便』でしょ!(笑)
連絡先は『03-8389-6956(通話無料)』と書いてありますが、”03”から始まるので東京23区を中心とした市外局番 でもちろん無料ではありません。
更にこの電話番号をググってみても一致する情報を得ることができないので適当な番号を書いたものと思われます。


件名の見出しを確認

この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。


メールアドレスのドメインを確認

送信者として記載されているメールアドレスのドメイン(@より後ろ)は『fuga.ocn.ne.jp』
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。

もうお分かりですよね?
そうです、これは日本最大級のインターネットサービスプロバイダ の『OCN』さんの物でヤマト運輸さんの物ではありません。
これは偽装に利用されたもので当然OCNが送信したものでもありません。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。


Received: from XUMTSBEWGZ (44.83.201.170)


このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を『IP調査兵団』で導き出してみると、米国のサンディエゴ付近です。


リンク先のドメインを確認

さて、本文の『情報確認ページへ』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。

【h**ps://asniqwyasv.icu/9aDnd7A2/】
(直リンク防止のため一部の文字を変更してあります)
これまた『』のドメインとは異なるものが利用されていますね。

先程と同様にこのドメインを割当てているIPアドレスをGrupo』さんで取得してみます。

割当てているIPアドレスは『43.165.129.218』
IP調査兵団』でこのIPアドレスからそのロケーション地域を調べると、詐欺サイトではありがちな東京都杉並区付近であることが分かりました。
(市町村名に渋谷区と書いてありますが…)

リンクを辿ってみると、一旦はGoogleChromeとウイルスバスターにブロックされましたが、解除して進むと開いたのは『404 Error: Page not found,Sorry, we couldn’t find the page you’re looking for.』とだけ書かれた真っ白なページ。
恐らくこのサイトを設置したレンタルサーバーがその危険を察知して削除したものかと思いますが、ウイルスバスターにブロックされたことが、ここには以前危険なサイトが存在していたことを物語っていますね。

よく見るとタブにあるファビコンが『えきねっと』っぽいですね。
もしかしてこの詐欺師はこちらの詐欺にも加担しているのかもしれませんね。


まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;