『詐欺メール』『【至急確認】ETC通行料金の未納が確認されました』と、来た件


★フィッシング詐欺メール解体新書★


スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。


いつもご覧くださりありがとうございます!

☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
★証券会社に成り済ます悪質なメール終息気味ですが、まだ確認されていますので資産運用されている方はご注意ください★

  • 件名の見出しを確認
  • メールアドレスのドメインを確認
  • リンク先のドメインを確認

できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
では、進めてまいります。


前書き

ここ2~3日ETC絡みの怪しいメールが昨日ご紹介したものをはじめ若干増えているような気がします。
今朝もまた昨日夜は別の件名を使った危険なメールが届いているので早速ご紹介していこうと思います。

では、詳しく見ていくことにしましょう。


以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。


メール本文


ここから本文
↓↓↓↓↓↓



件名:[spam]【至急確認】ETC通行料金の未納が確認されました
送信者: “nexco.co.jp" <0WZ1G9IT0Z-H9AZOP@e-nexco.co.jp>


ETC未払い料金の最終ご案内
支払期限:2025年6月29日(火)

ETCご利用料金の未払いが確認されました。
大変お手数ですが、下記リンクより3営業日以内にお支払いください。

未払い金額:¥300(税込)
対象区間:首都高速道路・東名高速

今すぐ支払う

※本通知は自動送信です。心当たりのない場合はお問い合わせください。


↑↑↑↑↑↑
本文ここまで



これは送信者名に”nexco.co.jp”と書かれているので『NEXCO』からだと言うのは分かりますが、このNEXCOは西、中、東、と3つに分かれていてそのどこからなのかこれだけじゃ分かりません。
届けられてのが昨日7月7日夕方5時ちょうどで、ETC料金で300円の未払いがあるとの通知。
その対象は『首都高速道路・東名高速』との事。
支払期限が2025年6月29日(火)とされていて、3営業日以内に支払うように求めています。

このメールにはいくつかの間違いが存在しますが、皆さんお気づきですよね?
そう、まずこの支払期限。
上にも書いた通り、このメールが届いたのは2025年7月7日です。
でも支払期限は2025年6月29日で、3営業日以内に支払えと記載されていますがもう既に1週間以上が過ぎています。
それに3営業日以内って、高速道路に休業日なんてあるのでしょうか?
更にこの2025年6月29日は日曜日で火曜日ではありません。

何でも疑ってかかる私、ETC料金が未納になる場合があるのかって話しですが、ETCカードに紐づくクレジットカードが期限切れ等で利用できない状態の場合やETCカード自体の有効期限切れ。
その他にもETC車載器の故障や未登録やバーが開いてしまってそのまま通過するエラー通過などがあります。
また、通行料金の300円ですが、そんなに安い区間あるのかと調べてみると、まず首都高速道路の普通車の最低料金は今日現在300円だそうです。
東名高速の場合、走行距離と利用回数によって異なるものの、基本的に150円+消費税が最低料金となるそうですので、300円はあり得ます。

では、そろそろこのメールの核心に触れていきましょうね。


件名の見出しを確認

この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。


メールアドレスのドメインを確認

送信者として記載されているメールアドレスのドメイン(@より後ろ)は『e-nexco.co.jp』
このドメインに関する詳しい情報を『Grupo』さんで取得してみます。

ここでやっと、このメールの送信者が『東日本高速道路 株式会社』であることが判明しました。
でもここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。


Received:  from customer-supports.shop (unknown [156.244.46.109])


本来ならここには、送信者のメールアドレスと同じドメインが記載されるはずですがそれとは全く異なるcustomer-supports.shopなんてお店が使うようなドメインが記載されていますね。
これでこの送信者のメールアドレスの偽装の可能性が出てきました。

ここの末尾に記載のIPアドレスは、送信サーバーが自身で書き込むもので、偽装することはできません
このReceivedに書かれているIPは”156.244.46.109”です。
でも先程『Grupo』さんで取得したこのドメインに割当てているIPアドレスは”13.73.6.251”で
全然違いますよね。
この結果からこの送信者が使ったとされる
e-nexco.co.jpを使ったメールアドレスは偽装であることが確定!

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を『IP調査兵団』で導き出してみると、米国カリフォルニア州のMinkler付近です。


 

リンク先のドメインを確認

さて、本文の『今すぐ支払う』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。

【h**ps://e-nexco.co.jp.customer-support-help.shop/login/】
(直リンク防止のため一部の文字を変更してあります)

このURLのドメイン部分は”e-nexco.co.jp”とNEXCO東日本の公式ドメインのようにも見えますが、これはサブドメインでこのURLでのドメイン部分はここではなく”customer-support-help.shop”です。
これは先ほどReceivedに記載されていたドメインと全く同じですね。

このドメインを割当てているIPアドレスを『aWebAnalysis』さんで取得してみます。

割当てているIPアドレスは『107.174.180.101』
IP調査兵団』でこのIPアドレスからそのロケーション地域を調べると、米国のサンタクララ付近であることが分かりました。

リンクを辿ってみると、一旦はウイルスバスターにブロックされましたが、解除して進むとこのようなページが開きました。

間延びしてしまったバナーが特徴のこのページ。
以前このブログエントリーでご紹介した詐欺サイトと全く同じですね。

『詐欺メール』nexcoから『【重要】ETCカードお支払い方法の更新のお願い』と、来た件

タブを良く見ると、中国語っぽい文字が書かれています。
それに東日本高速道路株式会社ではなく『東日本高速公路有限公司』って、社名も中国チックになってしまっています。😓

東日本高速道路の公式サイトを確認してみましたが、デザインが全然違う偽ログインページです。

適当な電話番号を入力して先に進んでみるとこのようなページに切り替わりました。

有効期限がメールの日付と変わってるし、金額の¥の位置もおかしいし…

次のページに進むと、当たり前のようにクレジットカード情報を入力する画面に移りました。

当然、ここを入力して末尾のボタンを押してしまうとその情報は詐欺犯に把握されクレジットカードの情報を盗み取られた上で詐欺の被害に遭うことになります。


まとめ

おかしなところ満載のメールでしたね。
だいたいNEXCO東日本が私たちのメールアドレスを知っているはずがありませんよね!

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;