『詐欺メール』「【三菱ＵＦＪ銀行】重要なお知らせ」と、来た件

2022年1月6日

やっぱりアルファベットは全角なんですね

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーの偽サイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取します。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

使いまわしの見飽きた本文

もう見飽きた内容の詐欺メールが三菱UFJ銀行に成りすまして送られてきました。
そのメールがこちらです。

銀行名やクレジット会社名を変え同じ内容のメールが毎日大量に送信されてきますが
今回は「三菱UFJ銀行」を騙ったもの。

件名は
「[spam] 【三菱ＵＦＪ銀行】重要なお知らせ」
やっぱりアルファベットは全角文字で書かれています。
どうして詐欺メールは全角にこだわるのでしょうね？
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「三菱ＵＦＪ <info@cr.mufg.jp>」
相変わらずの全角アルファベット…(笑)
はい、確かに”mufg.jp”は三菱UFJ銀行さんの正規ドメインですが、詐欺メールなので
これは間違いなく偽装。

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<by@cr.mufg.jp>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<6282183237474A299731E5214D475BF9@cr.mufg.jp>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from cr.mufg.jp (unknown [116.85.63.104])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。

見てください、脅威レベルは「高」とされていますね！
と言うことはやっぱりこのメールは危険なメールって事。
発信元となるメールサーバーの設置場所は中国北京市付近とされていますね。

IPの脅威レベルは「高」

では本文。
って言っても本当に見飽きた内容で反吐が出そうです…(;^_^A

【三菱ＵＦＪ銀行】利用いただき、ありがとうございます。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、
誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。

つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、
予めご了承下さい。

■ご利用確認はこちら

ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何とぞご理解賜りたくお願い申しあげます。

銀行名やクレジットカード会社名の部分を変えて何度も何度も送られてきます。
この本文ので受信者を不安にさせ詐欺サイトに引きずり込み個人情報やカード情報など
盗み取るのが本来の目的。
その盗み取る詐欺サイトへのリンクは「■ご利用確認はこちら」と書かれている部分に
付けられています。
そのサイトのURLがこちら。

使われているドメインは”e.maufeug.com”
このドメインについても持ち主や割り当て地などを調べてみます。

これによると、このドメインの持ち主は、マレーシアのクアラルンプールにある企業。
このドメインを割当てているIPアドレスは”172.245.94.163”とされています。
このIPアドレスを元にその割り当て地を調べてみます。

これによるとその割り当て地は「アメリカイリノイ州シカゴ」付近と出ています。
それよりもこのIPアドレスも脅威のレベルが「高」と表示されていますね。怖い怖い…

なぜ正規サイトにリダイレクト？！

試しにこのサイトを訪れてみることに。
まずはウイルスバスターに遮断されました。

危険を承知で先に進んでみると…

詐欺サイトかと思えばいつの間にかアドレスバーに表示されているURLはMUFGの正規サイト
のもの。https://www.mufg.jp/index.html

ウイルスバスターのブロックとかは何だったんでしょうね？
試しにEdgeでつないでみましたがやはり危険なサイトとして認識されていました。

まとめ

なぜ正規サイトにリダイレクトされたのか。
もう目的を達成したのか、それとも元々愉快犯なのか…私には分かりません。
でも、これだけブロックされるということはかなり危険なサイトだったってことは
間違いありません。
いつまたリダイレクトを外し詐欺サイトを復活させるか分かりませんので要注意ですね！

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)