ECTカードの第三者不正利用は見抜けるの?今日から11月、2021年も残すところ2か月を切りましたね。 日々を充実させやり残しが無いように過ごしたいと思います。 週明けは、週末分のメールが溜まっててその分迷惑メールも大量に処理しなければならず 月曜の朝は大忙し…(汗) そんな中から今回はこちらのメールをご紹介しようと思います。 これは、最近多い「ETC利用照会サービス事務局」を装ったフィッシング詐欺メールです。 内容は、第三者不正利用の疑いでサービスを一時中断した旨の報告となっています。 はい、ここで疑問。 ETCカードの第三者不正利用って確かにカードを盗み出せばあり得る話だとは思いますが それをどうやって見分けるのでしょうか? 実はこの本文の内容は、他のクレジットカードを騙る詐欺メールの文面を流用するから こういった矛盾が生じてしまうのです。
全角のアルファベットは違和感でしかない!では、このメールのプロパティーから見ていきましょう。 件名は 「[spam] ETCサービスは無効になりました(ETC利用照会サービス)」 全角のアルファベット、違和感でしかありません…(^-^; えてして詐欺メールはアルファベットを全角にしがち、理由は分かりませんが。。。 “[spam]”と書かれているのは、このメールに悪意があるから。 これは「スパムスタンプ」と呼ばれる注意喚起で、受信したサーバーが付加した情報です。 差出人は 「”ETC利用照会サービス” <cflc@sabihasa.tk>」 ここもアルファベットが全角ですね。 メールアドレスのドメインは”sabihasa.tk” ”.tk”は、ニュージーランドの領土であるトケラウ諸島に割り当てられている トップレベルドメインで、無料で取得できるドメインとして知られています。 もしこれが本当に差出人の持ち物であれば、かなり姑息な野郎ってことになりますね。(笑) このドメインについて調べてみると、偽装でなければこのドメインの持ち主はオランダの アムステルダムの在住者と分かりました。 割当ててるIPアドレスは”209.141.47.95”。 この数字覚えておいてください。
IPアドレスの脅威レベルは「高」では、このメールアドレスが偽装かどうかを含めメールをヘッダーソースから調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<cflc@sabihasa.tk>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20211031235507742868@sabihasa.tk>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from sabihasa.tk (sabihasa.tk [209.141.47.95])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
”Received”に出てきたIPアドレスは”209.141.47.95”。 先程覚えておいてくださいと書いたメールドメインを割当ててるIPと同じ数字ですよね? ということは、差出人のメールアドレスは偽装ではなったことになります。 やはり姑息な野郎でしたね。 ドメインの持ち主は「オランダ・アムステルダム」在住の方でしたよね。 では、このIPアドレスは現在どこで利用されているのでしょうか気になりますよね? このIPアドレスを使ってそのサーバーの位置情報と情報を拾ってみましょう! まず位置情報ですが、ギャンブルの聖地アメリカのラスベガスと表示されました。 そして、このIPアドレスの脅威レベルは「高」と出ていますのでとても危険です。
ETCカードの第三者不正利用って無理過ぎませんか?本文は、先程紹介した通りETCカードの第三者不正利用の通知でしたね。 ご利用を一部制限させていただき、ご連絡させていただきました。 ご回答をいただけない場合、サービスのご利用制限が継続されることもございますので、 予めご了承下さい。 |
「ご回答をいただけない場合」とあるのですが、何の回答なのでしょうか? この文面ではさっぱり分かりません。 他のクレジットカードの詐欺メールを流用するからこういうことになるのです(笑) んで、無茶苦茶な理由で押させようとしているリンクは「■ご利用確認はこちら」と 書かれた部分に付けられています。 そのリンク先のURLがこちら。 使われているETCにはおおよそ関連性の無いドメイン”credit.myvnc.com”についても 調べてみます。 持ち主は「アメリカ・ネバダ州・レノ」在住の方。 この方、よくこの調査で見かけます(笑) 割当ててるIPアドレスの割り当て国はアメリカ合衆国とされていますが、このサイトの 割り当て地情報は少々不安。 別のところで改めて調べてみました。 これによると、その位置は香港。 差出人はこんなところに置かれたウェブサーバーを使って詐欺サイトを運営しているんですね。
まとめ今回は、あえて詐欺サイトヘは出向きませんでした。 週明けのメール処理に追われているのでゆっくりしていられませんからね(;^_^A それにしてもETCカードの第三者不正利用ってどうやって見分けるんでしょうね? いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |