ソフトバンクがさくらインターネットのサーバー使う?!シルバーウィークって世間じゃ言うけど、秋分の日が飛んでるんで中途半端な感じ。 大企業なら土曜日から26日の日曜まで、休暇使って9連休なんて可能なんだろうけど うちの事務所みたいに中小の零細企業だと、カレンダー通りの飛び飛びしかお休み いただけません(´・ω・`) さて、今朝見つけたフィッシング詐欺メールは、ソフトバンクに成りすまし、第三者 不正利用を騙った会員向けのメールです。  件名は 「[spam] 【SoftBank】会員メニューログインのお知らせ」 ”[spam]”ってスパムスタンプされてるんで、悪意のあるメールだと一目で分かります。 差出人は 「softbank <dccnixsc@softbank.jp>」 ”softbank.jp”ってソフトバンクの正規ドメインを名乗っていますが、そんなの信じちゃ いけません! では、このメールをヘッダーソースからそのウソを見抜いてみましょう。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<dccnixsc@softbank.jp>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<87655AEFAB8DE385E90E10F5DB9CD891@softbank.jp>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。 ここも偽装可能で鵜呑みにはできません。 | Received:「from softbank.jp (unknown [163.43.128.125])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
IPアドレスの直前部分が”unknown(不明)”となってるのは、このIPにはドメインが割当て られてないことを現わしています。 では、このIPアドレスを使ってそのサーバーの位置情報などを拾ってみましょう!  このIPアドレスは、大手レンタルサーバーの「さくらインターネット」さんが所有。 ってことは、この差出人が利用したメールサーバーはそちらのユーザー関係者。 ソフトバンクなんてIT企業が、よそのサーバー使うわけがありませんよね?!(笑)
コピーサイトは違法です!続いて本文。 ソフトバンクをご利用いただきありがとうございます。 お客様の会員IDより以下認証画面へのログインが行われました。 ・会員認証画面:ttps://www.web-softbank.com/ ***************************************************************** ログイン日時:2021年09月21日 06時20分 アクセス元IPアドレス:122.22.135.238 ***************************************************************** ※本メールは2段階認証を設定されていない会員IDに対して ログインが行われた際に送信しております。 セキュリティ強化のためにも2段階認証設定をご検討ください。 |
まず真っ先に気づくのは、宛名が無いこと。 通常こういった特定ユーザーへのメールには必ず「〇〇様」って宛名が付きます でもこのメールの場合は、過ぎに挨拶文から始まってますよね。 これも詐欺メールの大きな特徴です。 第三者の不正利用に信憑性を持たせるため、ログイン日時とIPアドレスが 記載されています。 でももちろんそんなのは適当なでたらめ。 要は、メールにあるリンクをなんでもいいから押させたい口実です。 そのリンクURLがこちらです。  日本のソフトバンクが使う正規ドメインは”softbank.jp”です。 ”softbank.com”もグループサイトに存在しますが、”web-”は付いていません。 では、この”web-softbank.com”ってドメインも調査してみましょう。  ドメインの登録申請者は、中国・広西チワン族自治区から。 そしてこのドメインを割当ててるIPアドレスは、現在韓国で利用されているようです。 詳し情報を拾ってみると。  よく見かける地図が表示されました。 おおよその位置情報ですが、「韓国・キョンギ道・アニャン市」です。 ではこの地でどんなサイトを開いているのでしょうか? 一旦ウイルスバスターに遮断されましたが、勇気を持って見てきました。 それがこちらの画面です。  完全にコピーされていますね。 ウェブサイトも著作権に守られていますから、これだけでも重大な違反です! ここにIDとパスワードを打込むとそのユーザー情報は犯人に知れ渡り、乗っ取られてしまい 最後には個人情報のみならず、クレカ等のユーザー情報に紐づくその他の情報も盗み取られ 大変なことに巻き込まれてしまいますので要注意です。
まとめ世の中にあるありとあらゆる会員用ウェブサイトが標的になるので、犯人にしてみれば ネタに終わりがありません。 皆さんも、当然あちらこちらの会員になられていることと思いますので、特にメールでの 連絡にはご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |