【解析】[spam] 三井住友信託銀行を装う詐欺メール、リンク先の正体とは？

最近のスパム動向

最近は、実在するサービス名を騙るだけでなく、正規サイトのドメインを巧妙にURLに含ませることで、目視での確認を欺こうとする手口が主流となっています。

今週のスパム傾向

今週は「アカウントの異常検知」を口実にした銀行系フィッシングが非常に多く観測されています。また、メール本文に「本メールは自動配信です」といった定型文を入れ、信憑性を高めようとする工作が見られます。

前書き：親切心の押し売り

三井住友信託銀行さんを名乗る御仁から、ご丁寧に「重要なお知らせ」が届きました。なんでも私のアカウントに問題があるそうで。普段使いもしていない口座の心配までしてくれるなんて、詐欺師というものは世界で一番「献身的」な職業なのかもしれませんね。もちろん、その献身の先にあるのは私の個人情報と資産なわけですが。

では、詳しく見ていくことにしましょう。

件名

[spam] 【三井住友信託銀行】重要なお知らせ（必ずご確認ください）

なぜスパムと判断したか

件名に [spam] と付与されています。これはサーバーがメールの配送ルートや送信元ドメインの認証（SPF等）に失敗したことを検知し、自動的に「ゴミ箱行き」を推奨したものです。正規の銀行メールにこのタグがつくことはまずありません。

送信者・受信日時

本文

危険なポイント：送信元アドレスの偽造

送信者のアドレスは admin@smtb-verify-center.com となっていますが、公式なドメインは smtb.jp です。偽物は「smtb」という文字列をドメインの先頭に含めていますが、全く別の所有者が管理しているドメインです。公式アドレスと異なる点は最大の警戒ポイントです。

推奨される対応

何もせず、このメールは即座に削除してください。絶対にリンク先のページに個人情報や暗証番号を入力してはいけません。

Received情報の解析

送信元のIPアドレスは 153.120.25.108 です。

リンク先詳細

whois.domaintools.com 等で調査したリンク先の詳細情報です。

ウイルスバスターによるブロックの意味・理由

このURLのリンク先はウイルスバスターにガッツリブロックされました。
ウイルスバスターなどのセキュリティソフトがこのURLをブロックするのは、「Webレピュテーション（評価）」に基づき、このサイトが詐欺サイトとして既にデータベースに登録されているからです。

具体的な理由は以下の通りです：
・不審なドメイン： 取得されてから数日しか経っていない信頼性の低いドメインであること。
・フィッシング特性： 本物のログイン画面を丸ごとコピーし、情報を抜き取るスクリプトが埋め込まれていること。
・悪評の高いIP： 過去に多数のフィッシングサイトを公開してきたサーバー（IPアドレス）からの配信であること。

リンク先の稼働状況

現在も稼働中です。 偽のログインフォームが設置されており、アクセスしたユーザーの情報を盗もうと待ち構えています。

詐欺サイトの画像

まとめ

「smtb.jp」という正規ドメインを一部に含む巧妙なURLは、スマートフォンの狭いブラウザ画面では特に見破りにくいものです。しかし、銀行が「.top」などというドメインを使うことは万に一つもありません。不審なメールに釣られないよう、常に公式アプリからの確認を徹底しましょう。