『詐欺メール』「【JCB会員サービス】利用のお知らせ」と、来た件

2021年12月22日

JCBを騙るフィッシング詐欺メール

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーの偽サイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取します。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

1. なぜ自社ドメインを使わない？そりゃ詐欺メールだからさ
2. メールサーバーが中国でウェブサーバーがロス
3. まとめ

なぜ自社ドメインを使わない？そりゃ詐欺メールだからさ

今朝、JCBからこのようなメールが届きました。

在りがちな第三者不正利用を騙ったフィッシング詐欺メールです。
それも、他のクレジットカードを騙ったものと全く同じ本文で使いまわし疑惑が発覚。

件名は
「[spam] 【JCB会員サービス】利用のお知らせ」
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”【JCB会員サービス】利用のお知らせ” <useraccounts-co-jp@jsywx88.cn>」
JCBさんには”jcb.co.jp“って立派なドメインがあるのにこのメールアドレスに使われている
ドメインは”jsywx88.cn”
一般常識としてそれは無いでしょう。
まあのこメールアドレスも偽装されている可能性大ですが…(;^_^A

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<useraccounts-co-jp@jsywx88.cn>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<202112220420074656461@jsywx88.cn>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from mail.jsywx88.cn (unknown [121.36.95.176])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。

この結果を見ると、差出人の利用したメールサーバーの位置は中国の北京市付近。
差出人はどうやら「Huawei Cloud Service」ってところのユーザーのようです。
そしてその危険度を示す脅威レベルは「高」、その種類は「メールによるサイバーアタック」
とされていてとても危険です！

メールサーバーが中国でウェブサーバーがロス

引続き本文を見ていきます。

【JCB会員サービス】利用いただき、ありがとうございます。

このたび、ご本人様のご利用かどうかを確認させていただきたいお取引が
ありましたので、誠に勝手ながら、サービスのご利用を一部制限させていただき、
お客様のアカウントのに登録された電話番号にご連絡いたしましたが、お客様に連絡を
取ることができませんでした. ご連絡させていただきました。

ご回答をいただけない場合、サービスのご利用制限が継続されることもございますので、
予めご了承下さい。

■ご利用確認はこちら

ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何とぞご理解賜りたくお願い申しあげます。

他の詐欺メールでも度も何度も見てきた本文ですね。
このメールの特徴「このたび」と書き始める前に長いスペースがあること。
それもすべて半角で…

「■ご利用確認はこちら」と書かれている部分に詐欺サイトへのリンクが付けられています。
そのリンク先のURLがこちらです。

もうここまでくるとJCBの欠片もありません(笑)
詐欺サイトで使われているドメインは”gnyxry.cn”
例によってこのドメインも調べてみます。

またまた漢字三文字の氏名でこの方も中国のようですね。

検出されたIPアドレス”107.150.7.238”の現在の利用地を確認してみます。

脅威のレベルは低いもののアメリカロサンゼルスと出ました。
メールサーバーが中国でウェブサーバーがロスってのは最近パターン化されてきましたね。

リンク先はJCB会員専用Webサイト「MyJCB」のコピーサイトが表示されました。

ここにIDとパスワードを入れてしまうと、その情報は詐欺犯に詐取されてしまいます。
また、ログインボタンを押して先へ進むとカードの情報を入力する画面が出てこちらも
入力してしまうとそれらの情報も犯人に伝わり悪用されてしまいます。

まとめ

このようなメールを受け取ったら、必ず差出人のメールアドレスとリンク先のURLに
使われているドメインを確認してください。
もしそれらが正しくても偽装の可能性がありますのでログインはスマホアプリか検索結果で
ある正規サイトでログインをしてください。
年末年始は、更に詐欺メールの増加が予想されます。
気を緩めずにお過ごしください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)