「PayPay」から来た怪しいメールマジ、詐欺メール多すぎて処理が追いつきません! これ、今朝のメールボックスに届いていた詐欺メールの一覧。 一晩でこれだけ届くんだから困ったものです。 最近は”ETC利用照会サービス”ってのがトレンドなんですが、PayPay絡みも結構たくさん 届いています。  今回はこの中から、既出してない「【PayPay】ご利用のお知らせ」ってのにスポットを あててご紹介しようと思います。  件名は 「[spam] 【PayPay】ご利用のお知らせ」 件名から、第三者の不正利用をにおわせるものになっていますが、残念ながら”[spam]”と 付けられちゃってるんで、悪意のあるメールであることが一目でわかりますね。 差出人は 「”PayPay” <tixyd@paypay-corp.co.jp>」 確かにこのドメインはPayPayの所有物のようですが…  さて、果たして本当に差出人はPayPayなんでしょうか?
差出人は「さくらインターネット」のユーザーか?!ではメールをヘッダーソースから調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<tixyd@paypay-corp.co.jp>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<B217325D1946315098D025CEBD82AC09@paypay-corp.co.jp>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。 ここも偽装可能で鵜呑みにはできません。 | Received:「from paypay-corp.co.jp (unknown [153.120.139.167])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
”Recevied”のIPアドレスの前に”unknown”と記載のあるものは、ドメインが割当て られてないことを示します。 ということは、差出人は”paypay-corp.co.jp”ってドメインとは違うサーバーから メールを送ってきたことは明らかです! では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう! 位置はもとより、この結果からメールの送り主はどうやら大手レンタルサーバーの 「さくらインターネット株式会社」さんのユーザでした。(^^; 
あらら、中国ドメインですか…はい、では本文を見ていきます。 PayPayをご利用いただきまして、ありがとうございます。 PayPayのご利用内容をお知らせします。 ご利用日時:2021年09月18日15:17 ご利用場所:丸井・モディ利用(通販・ネットショッピングを含む) ご利用金額:8,041円 ※本メールは、ご利用・請求を確定するものではありません。 ※ご契約がキャンセルとなった場合でも、キャンセル情報のメールは配信されません。 |
これまた宛名の無い本文ですね。 普通は「~様」って宛名が付きますよね? この宛名の無いメールは詐欺メールの特徴ですので覚えておいて損はありませんよ! 第三者の不正利用をうかがわせるように、利用日時や利用場所と利用金額などが箇条書きで 書かれていますね。 これは信ぴょう性をもたせるための手段にすぎませんから全部ウソです。 そしてその先には、このように詐欺サイトへのリンクが記載されています。  あらら、ここではあからさまに中国音トップレベルドメインが出ちゃいましたね。(笑) これじゃすべてが台無しです。 せめてテキストリンクのところだけでも本家のドメインにしとけば良かったんじゃないかと 思ってしまいます。 では、このドメインの詳細情報と所在地などを確認していきます。  「阿里云計算有限公司」はこのドメインを管理する会社さん。 ドメイン登録者のメールアドレスは、日本のYahooドメインになっていますね。 そして申請者の氏名は、日本ではあまり見かけない名字の漢字3文字。 IPアドレスの割り当て国は「韓国」と出ています。 では、ここで表示されたIPアドレスからその位置情報を拾ってみましょうか。  この結果「韓国・キョンギ道・アニャン市」と表示されました。 あくまでアバウトな位置ですが。 この場所、こういった詐欺メールの調査でちょいちょいs出てくる場所なので、この差出人は 常習犯です。 で、その先にあるサイトはどうなっているんでしょうか?  「PayPay」のログイン画面です。 当然完コピ偽サイトですけどね。(-_-;)
まとめやっと今朝の分はこれで終わり。(^^ゞ それにしてもここ最近は以前にもましてフィッシング詐欺メールが増えてきました。 皆様、くれぐれもお気をつけてお過ごしください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |