『詐欺メール』『日頃の感謝を込めて、5,000円キャッシュバックを進呈(Sony Bank WALLET )』と、来た件
★フィッシング詐欺メール解体新書★
「生成AI」が普及し増々便利になる私たちが生活する世の中。
詐欺師もこれを逃すはずが無く、怪しいメールにも生成AIが浸透しつつあり
最近では片言の日本語ではなく、違和感のない流暢な言葉を使うメールが多くなりました。
このブログは、悪意を持ったメールを発見次第できる限り迅速にご紹介し
一人でも被害者が少なくすることを願い、怪しく危険なメールを見破る方法の拡散や
送信者に関する情報を深堀し注意喚起を促すことが最大の目的です。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
- 件名の見出しを確認
- メールアドレスのドメインを確認
- 宛名を確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
最初に1点だけ以下の件ご了承ください。
本来ならメールの本文を画像でお見せする方が分かりやすいかも知れませんが、全てを画像化してしまうとGoolgeなどのキーワード検索に反映されず、不審なメールを受取って不安で検索される方に繋がらない可能性が高くなります。
できる限り沢山の方に見ていただき情報が拡散できるようにあえて本文を丸々コピペしてテキストにてできるだけ受け取ったメールに近い表現にした上で記載しています。
では、進めてまいります。
前書き
このところのホスティングサービス側のセキュリティの向上で、ほとんどの詐欺サイトが無効化されていてなかなか結末までをご紹介できるメールが少なくなっているのが現状で、エントリーが少なくなっています。
これは喜ぶべきことなのですが、私の心境としては複雑です…
そんな中、今しがた届いた「ソニー銀行」からのメールが今のところ詐欺サイトへのリンクが確認できたので、取り急ぎご紹介しておこうと思います。
では、今回も詳しく見ていくことにしましょう。
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
メール本文
ここから本文
↓↓↓↓↓↓
件名:[spam] 日頃の感謝を込めて、5,000円キャッシュバックを進呈(Sony Bank WALLET )
送信者: “Sony Bank WALLET" <information@ciewhp.com>
平素よりSony Bank Visaデビットカードをご愛顧いただき、誠にありがとうございます。
このたびは、昨年のご利用金額がキャンペーンの条件を達成されたことを確認いたしました。
つきましては、感謝の気持ちを込めて、5,000円のキャッシュバックを進呈させていただきます。
▼ キャッシュバックのご利用方法
※ 国内外のVisa加盟店で利用可能、1ポイント=1円としてお使いいただけます。
※ 受け取り手続きは下記リンクから簡単に行えます(所要時間:約1分)。
▼ キャッシュバックを受け取る(日本語対応のみ)
h**tps://sanybank.gphobt.top/?applied=zcFkf6ZMH0NbwwpCHv4q
【ご注意事項】
※ 有効期限:本メール受信後 30日間(期限を過ぎると特典は失効します)
※ ポイント反映時期:手続き完了後の 翌月10日以降
今後ともSony Bank をどうぞよろしくお願い申し上げます。
Thank you for your continued patronage of the Sony Bank Visa Debit Card.
We have confirmed that your usage amount last year met the campaign conditions.
As a token of our appreciation, we would like to offer you a cashback of 5,000 yen.
▼ How to use the cashback
※ Can be used at Visa affiliated stores in Japan and overseas, with 1 point = 1 yen.
※ You can easily receive your cashback by clicking the link below (time required: about 1 minute).
▼ Receive cashback (English only)
h**ps://sonybank.jp/?apply=2CHlWte6B6ir85O5ceVC
[Notes]
※ Expiration date: 30 days after receiving this email (benefits will expire after the deadline)
※ Points will be reflected from the 10th of the following month after the procedure is completed
We look forward to your continued support of Sony Bank.
━━━━━━━━━━━━━━━━━
ソニー銀行株式会社 登録金融機関 関東財務局長(登金)第578号
加入協会:日本証券業協会、一般社団法人 金融先物取引業協会、
一般社団法人 第二種金融商品取引業協会、一般社団法人 日本STO協会
Sony Bank Inc. Registered Financial Institution Kanto Finance Bureau General Manager (TREASURE) No. 578
Affiliated associations: Japan Securities Dealers Association, The Financial Futures Association of Japan, Type II Financial Instruments Firms Association, and Japan Security Token Offering Association
↑↑↑↑↑↑
本文ここまで
これらの不審なメールは、皆さんが様々な登録の際に利用したメールアドレスが漏洩し、専門の業者がその漏洩したアドレスを収集たものを入手した詐欺グループが、こういったメールを送っているので、このメールを受取ったのは、私をはじめ「ソニー銀行」ユーザーばかりではありません。
大量のメールを送った中で、ほんの一部の対象者を狙った数打てば当たる方式の詐欺メールです。
この後、最終的にこのメールにつけられたリンクまで調査しますが、このところこれら詐欺サイトへの規制が厳しくなっており、詐欺サイトが設置されるホスティングサービスはセキュリティの強化が図られ、こういったサイトの多くは設置されるとすぐに閉鎖に追いやられています。
そのためこのメールに付けられたリンクももしかしたらすでに機能を停止している可能もあります。
このメールは、ソニー銀行のデビットカードユーザーに宛てたもので、昨年の利用金額がキャンペーン条件を達成したとのことで、5,000円のキャッシュバックが進呈されるとのこと。
受け取るためにはリンクに接続して手続きを行わなければいけないようです。
もちろんこのメールは悪意を持った詐欺メールで、リンク先は当然詐欺サイトです。
ではまずはメールのプロパティーから探ってみることにしましょう。
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは全て迷惑メールと判断されたもの。
うちのサーバーの場合、注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
メールアドレスのドメインを確認
送信者として記載されているメールアドレスのドメイン(@より後ろ)は「ciewhp.com」
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
因みにソニー銀行が利用するメールアドレスのドメインは「sonybank.jp」です。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。
では、送信者の素性が分かるメールヘッダーの「Receivedフィールド」から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。
Received: from ciewhp.com (171.4.146.34.bc.googleusercontent.com [34.146.4.171])
Receivedのカッコ内は、送信者が利用したサーバーが自身で刻む唯一信頼できる部分で偽装はできません。
ここには『googleusercontent.com』と書かれています。
これはGoogleが提供する各種サービスがコンテンツを配信・ホスティングするために使用されるドメインです。
故にこのメールの送信者は、このサービスを利用してこのメールを送信しているようです。
では、試しにドメイン「ciewhp.com」に関する詳しい情報を「Grupo」さんで取得してみます。
この情報が正しければ、このドメインの取得者は中国北京市の方です。
割当てているIPアドレスとReceivedフィールドのIPアドレスが合致したので、この送信者は自身のメールアドレスを偽ることなく何食わぬ顔でこのメールを送信してきたことになります。
このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を「IP調査兵団」で導き出してみると、東京都杉並区付近です。
最近この辺りは、これら怪しいメール発信地のトレンドです。
宛名を確認
このような大切なメールの冒頭には通常「◎◇△ 様」と言ったように「宛名」が書かれていますが、でもこのメールにはその宛名が存在しません。
でも仮にもしこれが本当にソニー銀行からだとすれば、ユーザーの氏名を絶対知っているはずですから宛名が無いのはとても不自然です。
ならどうしてこのような書き方をするのでしょうか?
その原因は、このメールの送信者は受信者の情報をメールアドレスしか知らないわけだから宛名なんて書きようがないからです。
どうせどこかから漏洩したメールアドレスのリストを入手し、そのメール宛に無選別でこういったメールを送信しているのでしょう。
リンク先のドメインを確認
さて、本文に直書きされた詐欺サイトへのリンクですが、当然偽装されていて、実際に接続されるサイトのURLは以下の通りです。
【h**ps://sanybank.6ic6fh.top/pc_login】
(直リンク防止のため一部の文字を変更してあります)
これまたソニー銀行のドメインとは異なるものが利用されていますね。
このドメインに関する詳しい情報を「Grupo」さんで取得しようと思ったのですが、エラーになったので今度は「Whois」さんで取得してみます。
この情報が正しければ、このドメインの取得者はやっぱり中国の方です。
次にこのドメインを割当てているIPアドレスを「aWebAnalysis」さんで取得してみます。
割当てているIPアドレスは「104.21.78.59」
「IP調査兵団」でこのIPアドレスからそのロケーション地域を調べると、詐欺サイト設置場所は、カナダのトロント市庁舎付近であることが分かりました。
これは最近のトレンドで多くの詐欺サイトがこの付近に設置されています。
リンクを辿ってみると、一旦はウイルスバスターにブロックされましたが、解除して進むとこのようなページが開きました。
公式サイトとはURLが全く異なるので、これは本物そっくりの偽ログインページです。
当然、ここに情報を入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。
不正ログインされると口座操作されて詐欺被害に遭うことになります。
まとめ
何とかサイトの閉鎖までに間に合ってご紹介することができましたが、書き終えて再びリンクにアクセスしたらもう既にお亡くなりになっていました。
でも恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;