『詐欺メール』「ヨドバシ・ドット・コム：アカウントでお支払い方法を更新する必要があります」と、来た件

ヨドバシドットコムを騙る

今朝は、サーバーで迷子メールになっていたフィッシング詐欺メールをご紹介します。
これは既に退社したスタッフ宛に届いていたもの。

では、詳しく見ていきましょう！

件名
「ヨドバシ・ドット・コム：アカウントでお支払い方法を更新する必要があります」
危ない危ない、珍しく”[spam]”ってスパムスタンプ付いていませんね…(汗)

差出人
「”ヨドバシドットコム” <support@miaoxichen.cf>」
図にも書きましたが、”.cf”は中央アフリカに割当てられたトップレベルドメインです。
国内の有名な家電屋さんが中央アフリカのドメインを使いますかね？(笑)

怪しいので、メールのヘッダーソースも確認してみました。
確認したのは、通過したサーバーが自身で書き込む”Received”フィールド。
ここは通過したサーバーのホスト情報が書き込まれる部分。
そこにはこのように書かれていました。

末尾の数字がそのサーバーのIPアドレスになります。
これはこのIPアドレスを元に調べた結果です。

この結果メールアドレスに使われていた”miaoxichen.cf”ってドメインは、”Received”にある
IPアドレスに割当てられていることが分かりました。
なのでこの差出人は、偽装することなく自身のメールアドレスを使ってヨドバシに成りすまし
メールを配信したことになります。

そして、このIPアドレスは現在アメリカカリフォルニア州ラスベガスで使われていることも
分かりました。
これは差出人が利用したメールサーバーがラスベガスにあることを意味します。

コピーサイトと思ったら？！

では、本文。

「お支払い方法を更新するのご連絡」から始まる本文。
最初っからやっちゃってます…(笑)
この”の”って要りませんよね？！(笑)

その他にも怪しい表現が見受けられますが…(汗)

内容は、システム更新に伴って記載されたリンクからアカウント情報を更新しろって
感じですね。
だいたいシステム更新でアカウント情報の更新をユーザーがするってのもおかしな話。

そして気になるのは、リンク先の偽コピーサイト。
そのURLがこちらです。

末尾には受信側のメールアドレスが記載されています。

使われているドメインは”barely.servecounterstrike.com”
このドメインについて調べてみましょう！

結果は、アメリカネバダ州レノって街から申請され現在の割り当て国もアメリカです。
もう少し詳しい位置情報を取得してみましょう！

えっ！あっ！…おおさか…

他複数のサイトでも調べましたが、どうやらアメリカではなく大阪で使われている
IPアドレスのようです。
もちろん位置はおおよそですが。。。

試しにリンク先へ行ってみました。
すると…

「一保堂茶舗」っていう日本茶専門店さんのサイトにつながりました。
でもおかしいですね、このページにあるリンクはどれを押しても”404 Not Found”と出て
つながりません。

「一保堂」で検索してみると、京都にある「一保堂茶舗」ってところにたどり着きます。
なにがどうなっているのか…(汗)

まとめ

ヨドバシドットコムを騙っておきながらリンク先は日本茶の専門店。
最後は意味が分からなくなってしまったので調査は暗礁に乗り上げてしまいました。
この犯人は、何がしたかったのか？
ただの愉快犯なのでしょうか？
その真相は私には分かりません(汗)