『詐欺メール』『<‌ ‎MyJCB ‌>‌商‌品‌ご‌注‍文​内‎容‌受‍付‍の‍お‌知‏ら​せ』と、来た件


★フィッシング詐欺メール解体新書★


スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。


いつもご覧くださりありがとうございます!

☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
★証券会社に成り済ます悪質なメール終息気味ですが、まだ確認されていますので資産運用されている方はご注意ください★

  • 件名の見出しを確認
  • メールアドレスのドメインを確認
  • 宛名を確認
  • リンク先のドメインを確認

できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
では、進めてまいります。


前書き

JCBカードから気色の悪いメールが届きました。
英数字だけ怪しいフォントが使われているもので、これ以外にも以下の件名と送信者名で全く同じ内容のものも確認されています。

『 ‌MyJCB ‎』‏商‏品‍お申‌し​込‌み‌承‎り‌受‍付‎の‌ご案​内: “<​ ‎M​ ​y‌ J‏ ‏C​ ‎B‏ ‍>" <return8m@interval.aroundtheclockusa.com>

この気色の悪い英数字のフォントですが、当ブログでは文字化けの可能性が考えられるのでブログ標準フォントに書き換えております。

ではそんな『JCBカード』に成り済ます不審なメールを詳しく見ていくことにしましょう。


以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。


メール本文


ここから本文
↓↓↓↓↓↓



件名:[spam]‍<‌ ‎MyJCB ‌>‌商‌品‌ご‌注‍文​内‎容‌受‍付‍の‍お‌知‏ら​せ
送信者: “‎MyJCB" <batchmisrtpdf@interval.aroundtheclockusa.com>


お客様

いつもJCBカードをご利用いただき、ありがとうございます。

このたびは、MyJCB にて JCB商品券の商品交換にお申し込みいた
だき、誠にありがとうございます。

申込内容をご案内いたしますので、ご確認ください。
h**ps://original.jcb.co.jp.**********%E2%88%99@rwkqr.cn/Npc70D?ID=ciczo9y_qpwutljwwaritllsxnsficr

商品番号:5373875714
商品名称:JCB CARD 共通ギフトカード 60,000円分
日時: 2025-07-08 10:42:28
単価: 1,000円
数量: 60枚 × 1,000 円券
合計金額60,000円

※ 商品の返品・変更・キャンセル お届け先の変更はいたしかねます。

株式会社ジェーシービー
|東京都港区南青山5-1-22 青山ライズスクエア 107-868〒6
※本メールは送信専用です。
お問い合わせは上のURLの、 専用フォームよりお願いします。


↑↑↑↑↑↑
本文ここまで



このようなフォントを使う怪しいメールは時々見られますが、目立たせて気を引くつもりなのでしょうか。
末尾にある『〒6』は郵便番号ですよね?
だとすればすこぶる短い郵便番号ですね(笑)
このメールは、意図しないギフトカード購入をネタに偽の詐欺サイトに誘導し、MyJCBのユーザーアカウントとJCBカードの情報を盗み出そうとする卑劣な詐欺メールです。


件名の見出しを確認

この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。


メールアドレスのドメインを確認

送信者として記載されているメールアドレスのドメイン(@より後ろ)は『interval.aroundtheclockusa.com』
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
どこの馬の骨か分からないドメインが使われていますね。
因みにJCBカードが利用するメールアドレスのドメインは『jcb.co.jp』です。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。


Received: from interval.aroundtheclockusa.com (99.100.53.34.bc.googleusercontent.com [34.53.100.99])


ここには『googleusercontent.com』と書かれています。
これはGoogleが提供する各種サービスがコンテンツを配信・ホスティングするために使用されるドメインです。
故にこのメールの送信者は、このサービスを利用してこのメールを送信しているようです。

ここの末尾に記載のIPアドレスは、送信サーバーが自身で書き込むもので、偽装することはできません

では、試しにドメイン『interval.aroundtheclockusa.com』に関する詳しい情報を『Grupo』さんで取得してみます。

申請者の住所は東京都のようですが、それ以降は中国っぽい表現なのででたらめのようです。
割当てているIPアドレスとReceivedフィールドのIPアドレスが合致したので、この送信者は自身のメールアドレスを偽ることなく何食わぬ顔でこのメールを送信してきたことになります。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を『IP調査兵団』で導き出してみると、米国オレゴン州ザ・ダレス( The Dalles)付近です。


宛名を確認

このメールの冒頭には『お客様』と抽象的な『宛名』が書かれていますが、なぜ氏名や苗字を書かなかったのでしょう。
でも仮にもしこれが本当にJCBカードからだとすれば、ユーザーの氏名を絶対知っているはずですからとても不自然です。
ならどうしてこのような書き方をするのでしょうか?
その原因は、このメールの送信者は受信者の情報をメールアドレスしか知らないわけだから宛名なんて書きようがないからです。
どうせどこかから漏洩したメールアドレスのリストを入手し、そのメール宛に無選別でこういったメールを送信しているのでしょう。


リンク先のドメインを確認

さて、本文に直書きされた詐欺サイトへのリンクですが、実際に接続されるサイトのURLは以下の通りです。

【h**ps://rwkqr.cn/Npc7OD/#/】
(直リンク防止のため一部の文字を変更してあります)

これまたJCBカードのドメインとは異なる中国のものが利用されていますね。
先程と同様にこのドメインに関する詳しい情報を『Grupo』さんで取得してみます。

この情報が正しければ、このドメインの取得者は時々見かける氏名の中国の方です。

割当てているIPアドレスは『43.167.217.2』
IP調査兵団』でこのIPアドレスからそのロケーション地域を調べると、詐欺サイトではありがちな東京都杉並区付近であることが分かりました。

リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。

公式サイトとはURLが全く異なるので、これは本物そっくりの偽ログインページです。
当然、ここにIDとパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。
この先で更にクレジットカードの情報を盗み取られた上で詐欺の被害に遭うことになります。


まとめ

JCBカードがおかしな郵便番号を記載し、このような気色の悪いフォントを使ってユーザーにメールを送るはずがありません。
こんなくだらないメールに絶対に騙されないでください!

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;