件名から違和感ありあり11月4日、文化の日の翌日の朝です。 2日ぶりに見るメールボックスには例によって大量の迷惑メールが。 な中でも気になったのは「三菱UFJ会社から緊急のご連絡」と大文字のアルファベットに 違和感のあるこのメール。 開けてみると、中には見飽きた本文が。 よく見ると、文頭の「三菱UFJ銀行」って文字だけフォントが違うので、他の詐欺メールと 使いまわしている本文なんでしょうね。(笑) それにしてもいつも通りにアルファベットはことごとく全て全角なんですね。(笑) ほんと理由が知りたいわ… では、メールのプロパティーから。 件名は 「[spam] 三菱UFJ会社から緊急のご連絡」 「三菱UFJ会社」の「会社」ってところに違和感を持つのは私だけ? この「会社」は要らんでしょう? ”[spam]”が付加されているのでこの迷惑メールと受信したサーバーのセキュリティーで判断 されています。 差出人は 「三菱UFJニコス Net Branch <ssfbmlkan@mufg.jp>」 さすがに「Net Branch」とメールアドレスは半角ですね(笑) 三菱UFJ銀行の正規ドメインを使ったメールアドレスになっていますが、果たしてこの メールアドレス本物なのでしょうか?
国内大手金融機関が中国からメールを?!では、このメールをヘッダーソースから化けの皮をはがしてみましょう。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<ssfbmlkan@mufg.jp>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20211104025306801884@mufg.jp>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from mufg.jp (unknown [117.50.172.248])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう! これによると、IPアドレスの割り当て地は中国の北京市と出ていますね。 と言うことは、この地に差出人が利用したメールサーバーが設置されているんです。 果たして、国内大手の金融機関が中国のサーバーを使ってメールをユーザーに配信する でしょうか? ま、天地がひっくり返ってもあり得ない話です。 ってなわけで、このメールは偽物確定!!(笑)
”を”が抜けていますよ~!次に本文です。 三菱UFJ銀行利用いただき、ありがとうございます。 このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、 誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。 お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。 何卒ご理解いただきたくお願い申しあげます。 ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、 予めご了承下さい。 ■ご利用確認はこちら |
先にも書きましたが、本文の書き出しにある「三菱UFJ銀行」ってところは、明らかに 他のフォントとは違うフォントが使われています。 そして、本来なら「三菱UFJ銀行」の後ろに”を”が入るはずですが、それが無いので 余計にここだけ貼り替えているのが窺えますね。 内容は、例によって「第三者不正利用」を装ってリンクに誘導する手口。 「■ご利用確認はこちら」ってところにそのリンクが付けられています。 そのリンク先のURLがこちら。 使われているドメインは”www-cr-mufg-jp.kiyjro.work” このドメインの持ち主と、その割り当て先を調べて見ましょう。 申請者情報のほとんどがプライバシー保護されていますね。 辛うじて分かるのは、持ち主は中国山西省の方だということだけ… ドメインを割当ててるIPアドレスは” 172.67.183.184”とされていますのでこのIPアドレスを 使ってその位置情報を探ってみます。 これによると「アメリカ・カリフォルニア州・サンジョセ」に割当てられているようです。 ここで運営されている詐欺サイトとはどのようなものなのでしょうか? ちょっとだけ覗いてみました。 すると、まず真っ先にウイルスバスターに遮断されてしまいました。 もう既に周知されているサイトと言うことです。 無視して先に進むとこのように「三菱UFJニコス」のコピーサイトが表示されました。 サイトのコピーは、それだけでも犯罪でこの差出人は罪に罪を重ねていますので重罪です。
まとめよく見れば、メールを開けなくてもそれだと分かる詐欺メールでした。 件名の全角アルファベットがその最たる証拠です! 本文にもいくつかヒントがありますので見落とさないでくださいね! いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |