『詐欺メール』「ＥＴＣサービスは無効になりました(ＥＴＣ利用照会サービス)」と、来た件

2021年10月22日

「無効になりました」って唐突過ぎません？！

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

西アフリカの「マリ共和国」から

最近多いですよね、ETC利用照会サービスを騙ったフィッシング詐欺メール。
同じものが多いのでいちいちご紹介はしていませんが、私のところには、ほぼ毎日複数通
届いています。
今朝のメールチェックでも唐突に「無効になりました」と書かれたメールが1通。

相変わらず、アルファベットが全角となっていますので、それとすぐに判ります(笑)

では、プロパティーから見ていきます。

件名
「ＥＴＣサービスは無効になりました(ＥＴＣ利用照会サービス)」
ああ、今回はうちのサーバーさぼりましたね、いつも頼りにしている”[spam]”を付け
忘れています(汗)
何故か詐欺メールの多くはアルファベットを全角で表現するんですよね・・・なぜでしょうか？

差出人は
「"ＥＴＣ利用照会サービス" <support@relsxmostadus.ml>」
ここもアルファベットは全角…(^-^;
「ETC利用紹介サービス」さんの正規ドメインは”etc-meisai.jp”です。
自社のドメインがあるのに”relsxmostadus.ml”なんて訳の分からないドメインを使いますか？
それに”.ml”は、西アフリカにある「マリ共和国」のトップレベルドメイン。
因みに”relsxmostadus.ml”をググると詐欺メールに関する情報がいくつか出てきますね。(笑)

IPアドレスとドメインで差出人を追跡！

ではこのメールをヘッダーソースから確認して色々調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<support@relsxmostadus.ml>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<20211022040056502177@relsxmostadus.ml>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from relsxmostadus.ml (relsxmostadus.ml [209.141.45.58])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、このドメインとIPアドレスを使ってその持ち主やサーバーの位置情報を拾ってみす。

ドメインの持ち主は「オランダ・アムステルダム」にある企業。

IPアドレスの割り当て地は「アメリカ・ネバダ州・ラスベガス」マッカラン空港付近。

日本のETCに関わる団体が、マリ共和国のドメインを使い、娯楽の殿堂ラスベガスから
メールを送るわけがない！(笑)

詐欺サイトは国内に？！

では、本文。

ETCアカウント異常
ＥＴＣサービスをご利用いただきありがとうございます

ＥＴＣサービスは無効になりました。引き続きサービスをご利用いただきたい場合は、
下記リンクより詳細をご確認ください。

ETCに限らずこの「アカウント異常」って言葉は、詐欺メールにはよく出てきます。
でも、「アカウント異常」なんて言葉、日本人は使いませんよね？
書くなら「アカウントに異常があります」って熟語にすると思いますよ。

本文では、何の使い分けか知りませんが”ETC”を全角や半角を織り交ぜて書いていますね。

この本文の後ろに「ETC公式サイトにアクセスして更新します」と書かれたリンクボタンが
置かれています。
このリンク先にURLがこちらです。

当然このドメインも持ち主と割り当て地をしっかり調べます。
まずは持ち主から。

”Admin Organization”は、ドメインを管理しているホスティングサービス。
これには「No-IP.com」と書かれていますので、このドメインは「No-IP.com」と言う
ホスティングサービスに管理を委託しているようですね。
そして、ドメインの持ち主は「アメリカ・ネバダ州・レノ」在住の方。

このドメインを割当てているIPアドレスは「34.146.212.197」
このIPアドレスの割り当て地を別のサイトで検索すると…

もちろんおおよそですのであまり当てにはなりませんが、なんと「東京都新宿区市谷田町」と
出ています。
リンク先のウェブサイトは、ここに設置したウェブサーバー内で何らかの詐欺サイトを
運営しているようです。

リダイレクトした意味は？

では、その詐欺サイトはどのようなサイトなのでしょうか？
リンクに接続しまず気がついたのは、ボタンをクリックした瞬間の一瞬のブラウザの動作。
リダイレクトし、別のどこか違うサイトに飛ばされた感じがしたので開いたサイトのURLを
確認してみると、このようなURLにつながっていました。

これ、メールの時の同じ「マリ共和国」のトップレベルドメインですね。

また調べることが増えました…(;^_^A
このドメインについても持ち主と割り当て地を調べてみましょう。

まず持ち主から。

メールのドメインと同じ持ち主ですね。

では、次にIPアドレスの割り当て地。

これも、飛ばされる前のIPアドレスの割り当て地と同じですね。
じゃなぜリダイレクトまでして別サイトに飛ばす意味があるのでしょうか？？

最終的に飛ばされたサイトは、例によって完コピ偽サイト。

サイトのコピーも立派な犯罪！
これだけでも罰せられますよ！！

まとめ

クレジットカードを騙った詐欺メールも多いですが、ETCも多いですね。
これらのメールを受け取った際は、差出人やリンク先を十分に確認しご判断ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)