そんなサービス入会したかな?新たな刺客です! 「えきねっと」なる実在のサービスの名を名乗り、無理やりログインをさせようとする フィッシング詐欺です。  「2年以上ご利用が確認できないアカウントは自動的に退会処理」と書かれているので 最初は、入会したことを忘れているのかな?と思ったりもしたのですが、「えきねっと」では 旅券もクレジットードで購入したりできるし、もしかしてと思い調べてみると、 これがやっぱりでした。 では、その根拠をメールのプロパティーから探っていきます。 件名は 「えきねっとアカウントの自動退会処理について」 いつもならフィッシング詐欺メールの場合、件名の先頭に”[spam]”とスタンプが付けられて いるのですが、今回はそれも付けられていませんので余計に信用しそうになった原因の一つ。 弘法も筆の誤り、時々サーバーの機嫌が悪くなり、スタンプを付け忘れるのが玉に瑕です。 差出人は 「eki-net.com <no-reply@fl-tex.com>」 Wikipediaで見ると「えきねっと」とはこのように書かれています。 えきねっとは、東日本旅客鉄道が提供する、インターネット上での指定券予約サービス 及び旅の情報などのインターネットサービスを提供するウェブサイトである。 運営と管理はJR東日本グループの「株式会社JR東日本ネットステーション」が行っている。 |
JR東日本グループが運営しているサイトのようですが、私の済むエリアはJR東海。 旅行したとしてもそのたいていがJR東海の範囲内ですから、きっと、たぶん、登録は していないと思います。 それに「えきねっと」さんは”eki-net.com”という自社ドメインを取得されていますから このような”fl-tex.com”なんてよそのドメインを使うなんて考えられません。 それ以前にこの”fl-tex.com”を使ったメールアドレスも眉唾ものです。 では、それも含め次項で色々と調査してみたいと思います。
メールアドレスは嘘!では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<no-reply@fl-tex.com>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20220222035739778656@fl-tex.com>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from lp (unknown [42.236.229.77])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
ではまず、差出人のメールアドレスにあったドメイン”fl-tex.com”は本物なのか偽装なのか 確認してみることにします。 このドメインを割当てているIPアドレスと”Received”に記載のアドレスの整合性を見るために 情報を取得してみました。  この結果、このドメインを割当てているIPアドレスは”173.82.232.15”であることが判明。 ”Received”に記載の”42.236.229.77”とは全く異なります。 ということで、この差出人さんは「えきねっと」もさにあらず”no-reply@fl-tex.com”って メールアドレスさえも偽装していることが判明しました。 それにこの調査から、このIPアドレス”173.82.232.15”は「中国安徽省合肥市(ごうひし)」で 使われていることも分かりました。
リンクのURLのドメインに注目!では本文に移ります。 日頃より「えきねっと」をご利用いただきありがとうございます。 「えきねっと」は 2021 年 6 月 27 日(日)にサービスをリニューアルいたしました。 これ に伴い、「えきねっと」利用規約・会員規約を変更し、最後にログインをした日より 起算し て2年以上「えきねっと」のご利用(ログイン)が確認できない「えきねっと」 アカウント は、自動的に退会処理させていただくことといたしました。 なお、対象アカウントの自動退 会処理を、本規約に基づき、2021 年 10 月 11 日(月)より 順次、実施させていただきます。 24時間以上ログインしておらず、「えきねっと」を使い続けたい場合は、 2022年2月21日(月)までに一度ログインしてください。 |
日本語としては特に遜色のない文章になっています。 私のように営業職ではない人間にとっては、あまり利用価値の無いサービスのように 思いますが、営業マンなどにとっては大変重要なサービスなのでしょうから、このような メールが届くと慌ててログインしようとしてしまうかも知れませんね。 でもそこが落とし穴なのです。 そうして押させようとしているのは本文後半にある「⇒ログインはこちら 」と 書かれた部分にある詐欺サイトへのリンクです。 
まずは、このサイトの危険性についてトレンドマイクロの「サイトセーフティー」で 各印してみました。 すると…  安全性について「危険」と表示され「正規のWebサイトを偽装してユーザ名やパスワード などの情報を収集する詐欺サイトです。」 と書かれておりますから業界ではその危険性は周知されているようです。 そして、ここで気を付けなければならないのは、このURLに使われているドメイン。 先に書いて通り「えきねっと」さんの正規ドメインは、確かに”eki-net.com”ですが、この URLで使われているドメインは”eki-net.com”ではなく”njccwd.com”なのに注目してください。 では、このドメインについて調べてみます。 先程と同じサイトで調査してみた結果がこちら。  このドメインの持ち主は「中国広西チワン族自治区」にお住みの方。 割当てているIPアドレスは”66.154.107.59”です。 このIPアドレスを元にその割り当て地を確認してみます。  まあ、この調査では頻繁に出てくる地域でアメリカのロサンゼルス付近が表示されました。 リンク先の詐欺サイトはこの付近に設置されたウェブサーバーで運営されているようです。 そのサイトへ、安全な手段を使い接続してみるとこんなページが表示されました。  「えきねっと」のログインページとそっくり瓜二つ。 あのメールを信じてしまったら間違いなくログインを試みることでしょうね。
まとめ本家の「えきねっと」さんを訪ねてみると、以下のようにしっかり注意喚起されていました。 「えきねっと」を騙る偽メールにご注意ください! 今回は、まず「えきねっと」さんを騙ったものが初めての件名だったことと件名に”[spam]”と スパムスタンプが無かったことを発端に「もしかして」と考えてしましましたが、冷静に 調査した結果は「まっ黒」なメールでしたね。 このような調査方法がご参考になればと思います。 悪質なフィッシング詐欺メールが多いので十分にお気を付けください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |