「ETC利用照会サービス」さんのドメインは”etc-meisai.jp”です昨夜、仕事が終わり帰宅後食事を終えたとことに1通のメールが。 仕事用ではなく個人用のメール宛。 こんな時間帯にはあまり来ないアドレスなので誰だろうかと見てみると。 「ETC利用照会サービス03:25:01」と。。。 あちゃ~ついにここまで来ちゃったか…(^_^A このアドレスあまり公表していないのでここは大丈夫だと思ってたんだけど… まあどこかから漏れたんでしょうね(-_-;) 
最後の「○○○○に対する不正ログイン発生のご報告と」って尻切れトンボの後は?(笑) まったく、最後まできちんと書こうよ!最後まで! 件名は 「ETC利用照会サービス03:25:01」 これじゃさっぱり意味わかりません。 だいたい一般人は「ETC利用照会サービス」さん自体知りませんからね。 かくいう私も、こんなことしてるんで知る機会がありましたがこんなサービスが有るなんて事 知りませんよね? 後ろの数字はタイムスタンプは、このメールを信憑性を持たせるために付けた架空のもの。 因みにいつもご説明しているスパムスタンプは、こちらのサーバーでは未対応で付加されて 来ませんでした。 こういうサーバーの場合は、細心の注意を払ってメールを仕分けする必要がありますんね。 差出人は 「etc-meisai <accountcenter@softwarecenter.club>」 ”softwarecenter.club”って誰のドメインですか? 「ETC利用照会サービス」さんのドメインは”etc-meisai.jp”ですよ? そんな大切なメールをわざわざよそのメールアドレス使って送ります?(笑) こんなのロシアで使ってるドメインじゃん… 
もしかしてこれも偽装なの?
メールは「ロシア・モスクワ・ゼレノグラード」からでは、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<accountcenter@softwarecenter.club>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<008c869aebf6$2fb930d9$9ebe68e1$@red>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「SPF record at softwarecenter.club designates 45.137.154.14 as permitted sender)」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
”Received”にある”45.137.154.14”が差出人の利用した送信サーバーのIPです。 では、このIPアドレスを使ってその情報を拾ってみましょう! 
あっ、リモートホストを見ると”softwarecenter.club”って書かれているので、差出人のメール アドレスにあったドメインと同じものに割当てられていましたね。 この結果から、差出人は律義にご自身のメールアドレスでフィッシング詐欺メールを送って 来ていたことになります。(笑) 割り当て国は「ロシア」とされていますが、別のサイトでさらに詳しく調べてみます。 
これによると差出人の利用したメールサーバーの位置は、おおよそですが 「ロシア・モスクワ・ゼレノグラード」と分かりました。 ロシアと日本の時差は3時間なんですね、もっとありそうですが…
詐欺サイトはマンハッタンに?!では続いて本文。 ETCサービスをご利用いただきありがとうございます ETCサービスは無効になりました。 引き続きサービスをご利用いただきたい場合は、下記リンクより詳細をご確認ください。 |
例によってアルファベットは全て全角ですね。 これ、詐欺メールの特徴ですよ! 「引き続きサービスをご利用いただきたい場合は、下記リンクより詳細をご確認ください。」 って、そんなの誰だって引き続き利用したいわさ! もっとも詐欺じゃなければね(笑) そんなこんなが書かれた後に詐欺サイトへのリンクが「→ご変更はこちらから」ってところに 付けられています。 そのリンク先のURLがこちらです。 
当然「ETC利用照会サービス」さんのドメインなんてどこにも使われていません。 それにトップレベルドメインがショップサイトのような”.shop“とはこれ如何に?? では、このドメインに関しても色々と調べてみましょう! 
ああ、これさっき見たやつじゃん。 当たり前と言えば当たり前かもしれませんが、メールドメインの持ち主と全く同じ。 ただ、割り当て国が今度は「アメリカ合衆国」となっていますね。 じゃ別のサイトで詳しい位置を検索してみます。 
今回は「ニューヨーク州・マンハッタン」と出ました。 詐欺犯は、マンハッタン付近に設置したウェブサーバー内でフィッシング欺サイトを 運営しているようです。
詐欺サイトはファビコンで見分けろそのマンハッタンで運営されている詐欺サイトがこちら。 
開いたのは当然「ETC利用照会サービス」さんの完コピサイトです。 サイト自体のコピーは知識さえあれば比較的簡単にできるのですが、難しいのはタブの左側に 表示されるファビコンと呼ばれるサイトのアイコンです。 偽詐欺サイトのファビコンはこのようにデフォルトのファビコンとなっています。  でも、「ETC利用照会サービス」さんのサイトではこのようなファビコンが表示されています。  これも詐欺サイトを見分ける一つのポイントですね!
まとめこのメールには更にこのような不必要な情報も。 ログイン日時: 2021-11-14 03:25:01 IPアドレス: 126.192.59.101 装備: Mac OS X Cheetah 10.0.4 場所: デンマーク |
不正ログインの信憑性を高めるためにこのようなでたらめな情報が書かれています。 因みにIPアドレス”126.192.59.101”は、現在SoftBank(モバイルデータ通信)が使っているもの。 
もちろん割当先も「デンマーク」ではありませんので悪しからず…(笑) いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |