「ヒノキ建設」?? ちょっと所用がありご紹介が遅れてしまいましたが、昨日のお昼過ぎに奇妙な詐欺メールが 届きました。
署名も無くどこから送られてきたか全く分かりませんね。
件名は 「[spam] お問合せありがとうございます」 もちろん私がどこかに問い合わせを入れて記憶は全くありません。 それにこのメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
差出人は 「hinokikensetsu@hinokikensetsu.com <hinokikensetsu@hinokikensetsu.com>」 ”hinokikensetsu”?「ヒノキ建設」…だれ? 全く心当たりありません。 それに、このメールアドレスも信用できません!
メールアドレスは偽装 では、このメールのヘッダーソースを確認し偽装されているかどうか確認してみます。 ソースから抜き出した「フィールド御三家」 がこちらです。
Return-Path: 「<hinokikensetsu@hinokikensetsu.com>」 ”Return-Path ”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。
Message-ID:「<634fcf4009c1b442ce7d7fc0eea545d8@hinokikensetsu.com>」 ”Message-ID ”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。
Received:「from chz2020.secure.jp (chz2020.secure.jp [150.60.29.54])」 ”chz2020.secure.jp ”ってドメイン見えちゃいましたね(笑) この時点で偽装確定!!
”Received ”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received ”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。
差出人のメールアドレスは”hinokikensetsu@hinokikensetsu.com ”ではありません。 ”chz2020.secure.jp ”ってドメインを使ったメールアドレスです。 では、この”Received ”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。 この差出人は、どうやらKDDI系のホスティングサービスを行っている 「KDDIウェブコミュニケーションズ」ユーザーのようですね。
ハートマークが示すようにリンク先は… と、言う訳でこのメールは、「ヒノキ建設」からのメールではありませんでした。 では、本文を見ていきます。
まず、このメールには連絡先などの署名がありません。 もし本当にこのメールが問い合わせへの返信であれば少なくとも会社名や連絡先など が記載されていないとおかしいですよね? それに、このメールには宛名がありません。 これらは詐欺メールの最大の特徴ですので覚えておいても損はありませんよ!
最初の行のハートマークと英語で書かれた「Gloria is interested in your profile! Click Here」 って所、何とも怪しげですよね。 訳してみると「グロリアはあなたのプロフィールに興味を持っています!ここをクリック」 リンク先がどのようなサイトか、ハートマークが示すようにだいたい想像つきますよね?(笑)
このメールは、フィッシング詐欺メールなので当たり前のように詐欺サイトへのリンクが 付けられています。 このメールの場合は、最初の行に直書きでこのように書かれています。
繋いでみると、即座にウイルスバスターにブロックされてしまいました。
危険を承知でブロックされたサイトに接続してみると、リダイレクトされて以下のURLから 始まるページに飛ばされました。
このURLをトレンドマイクロの「サイトセーフティーセンター 」で危険性を確認してみると。 当然のように「危険」と警告が出て詐欺サイトであることが警告されました。
つながったサイトはとてもここでご紹介できるような内容ではありません…(;’∀’)
サイトのタイトルは「Dirty Tinder」 調べてみるとこのサイトは、ポルノチャットを扱うの出会い系サイトらしく、どうやら サイトに行くと、ポルノや出会い系サイトに関連する迷惑な広告を表示するマルウェアに 感染するなんて情報があります。 危ない危ない…(;’∀’)
ところで、このURLに使われていた”perfectwoman-here.life ”ってドメインの所在。 まだ確認していませんでしたね! ざっくりと調べて見ます。 まず、ドメインの登録状況について。 「Registrant State/Province: North Rhine Westphalia」とあるので、ドイツの16ある連邦州 の一つノルトライン=ヴェストファーレン州。 そして「Registrant City: Paderborn」はその州に属する「パーダーボルン市」 このドメインの持ち主はどうやらここに在住のようです。 このドメインは”31.44.185.13”ってIPアドレスに割当てられているようなので、このIPアドレス の割り当て地を確認しどの国のどの町でこのサイトが運営されているか確認してみます。
これによると、サイトを運営するサーバーはロシアのウファという街にあるようです。
まとめ いかにも怪しげなメールでしたね。 まともな人間ならこのようなメールに記載されたリンクを開くことはないとは思いますが… それにしてもサイトにマルウェアーを仕込むなんてあくどいことしますよね。 「ヒノキ建設」さんもいい迷惑でしょうに… お気を付けください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;