auが中国ドメインのメールアドレスで?!また新たな刺客です。 今回は「auかんたん決済」の名を借りたフィッシング詐欺メールです。 システム更新を装って支払方法の更新しろと言うもの。 いつも書きますが、もし本当にシステム更新があったとしてもこちらの情報はデーターベース にあるはずなのでわざわざユーザー側がどうこうすることはありません。 では、メールのプロパティーから見ていきましょう。 件名は 「[spam] auかんたん決済でお支払いしている継続利用サービスを更新する必要があります.[メールコードM391]」 なんとなく日本語の扱いが下手な様子が伝わる件名ですね。(笑) このメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”auかんたん決済” <fjwkk@service.xtmtig.cn>」 これも毎度の事ですが、auなんて信用おける企業が、自社ドメインを持っているのに わざわざ中国のドメインでユーザーにメール送ることなんてあると思いますか? 絶対にあり得ません。
メールサーバーはロスに!では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<fjwkk@service.xtmtig.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20220219135142826682@service.xtmtig.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from service.xtmtig.cn (unknown [45.11.3.162])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、この”service.xtmtig.cn”について情報を拾ってみます。 紐づいたIPアドレスは”45.11.3.162” ”Received”に記載されていたものと同じなので、この方はメールアドレスを偽装していない ようです。 このドメインの持ち主は、おそらく中国の方で日本ではあまりお目に掛れない漢字3文字の 氏名が記載されていました。 このIPアドレスを元にその割り当て地を確認してみます。 表示された地図はアメリなのロサンゼルス付近。 この辺りに設置されたメールサーバーを利用してこのメールを送ってきたようです。
リンク先はまだ生きてきます続いて本文を見ていきます。 お客様 いつもauかんたん決済をご利用いただきありがとうございます。 システムの更新に伴い、auかんたん決済のアカウントの支払い方法を更新して、 アカウントが正常に使用されるようにする必要があります。 ◆次のURLからアカウントを復元してください。 ▼ ご利用確認はこちら |
青地で書かれた「▼ ご利用確認はこちら」ってところがフィッシング詐欺サイトへの リンク箇所です。 そのリンク先のURLはこちら。 まずはこのURLの危険性をノートンの「セーブウエブ」で確認してみました。 既に危険なサイトとして認識されているようです。 サイトのドメインはサブドメインを含めて”long-block-0f77.joker816.workers.dev” auの欠片もありませんね(笑) このドメインも持ち主や割り当て地を調べてみましょう。 と意気込んで検索してみましたがほとんどの情報がプライバシー保護されていて 登録者のカナダの方で、ドメインの管理は”101domain”ってところに依頼されていること 位しか分かりませんでした。 このドメインを割当てているIPアドレスは”172.67.171.116” 先程と同じようにこのIPアドレスを元にその割り当て地を確認してみます。 今度はサンフランシスコ付近の地図です。 それにしてもフィッシング詐欺サイトは、アメリカ西海岸に多く存在しますね…(;^_^A 安全な方法でサイトに行ってみると、このようにauのログインページとそっくりな 画面が開きました。 ふと気づくとリダイレクトされこちらのURLが変化しています。 これも同じようにノートンの「セーフウェブ」で確認してみると、結果は先程と同じように 危険でありと表示されました。
まとめ遂にauにまで手を出し始めましたね…(;^_^A 手口は同じような感じなのですぐにそれと気づきましたが、それにしてもフィッシング詐欺 メールは本当に多くなってきました。 皆さんもお気を付けてお過ごし下さいね。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |