『詐欺メール』「【重要】[お名前.com]お支払い方法が無効です」と、来た件

2022年2月24日

もしかしてブロガー狙い？

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

「お名前.com」さんを騙る

世の中の人って自身のドメインをお持ちの方ってどれくらいいるのでしょうか？
もちろん私のようなブロガーの場合、複数のドメインを持っていますが、一般の方は
お持ちではないと思います。
何故かと言いますと、今朝のメールチェックでこのように「お名前.com」さんに成りすました
フィッシング詐欺メールが届いていたので、ふと気になりまして。

もしかして、私のメールアドレスがサーバー管理者として流出しているのでしょうか？
それとも、ドメインの所持に関係なくこのメールを無差別に送っているのでしょうか？

では、メールのプロパティーから見ていきましょう。

件名は
「[spam] 【重要】[お名前.com]お支払い方法が無効です」
このメールには”[spam]”とスタンプが付けられているので一目で迷惑メールの類と分かります。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「info <mzmfkb@christcomm.net>」
お名前.comさんは当然”onamae.com”と言う自社のドメインをお持ちです。
なのになぜ”christcomm.net”なんて全く関連の無いドメインのメールアドレスでユーザーに
対しメールを送ってくるのでしょうか？
これは不自然ですよね！
もっとも”christcomm.net”を使ったこのメールアドレスも眉唾ものですが…

お名前.comのユーザーが仕掛けたお名前.comを騙った詐欺？！

では、このメールアドレスの信憑性も含めヘッダーソースの情報から確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<mzmfkb@christcomm.net>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<DF8FF96F9805D609B204066943BF4957@christcomm.net>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from christcomm.net (v160-251-61-215.6vew.static.cnode.io [160.251.61.215])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

ではまず”christcomm.net”を割当ててるIPアドレスと”Received”に記載のあるIPアドレスと
比較して差出人のメールアドレスが本当に”mzmfkb@christcomm.net”であるかどうか
確認してみます。

これによると、このドメインを割当てているIPアドレスは”163.43.144.95”と割出されました。
”Received”に記載のあったIPアドレスは”160.251.61.215”でしたので、このメールの差出人は
メールアドレスを偽装してきたことが確認されました。

じゃこのIPアドレスはどこで誰が使っているのでしょうか？
今度はこの”160.251.61.215”を調べてみます。
結果はこちらです。

このIPアドレスは”cnode.io”と言うドメインに割当てられているようです。
管理は「お名前.com」さんで行われていることも分かりますよね。
このIPアドレスを元にその割り当て地もGMO本社ビルにあると思われます。

正規ドメインを使わないサイトは詐欺サイト！

続いて本文を見ていきます。

細かいことは図中に書き込んでおきましたのでそちらをご覧いただくとして、このメールの
最大の目的は、本文中にあるリンクを押させ詐欺サイトに誘導すること。
そのリンク箇所は本文中に３か所あって、リンク先のURLはどれも直書きされているものと
同じこちらのURLです。

まずはこのリンク先のサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」
で確認してみました。

このように既に危険であると認識されておりました。

このURLで使われているドメインは、サブドメインも含んで”email.onamae-navigmo.com”
では、このドメインの持ち主と利用地を確認していきたいと思います。

持ち主調査の結果はこちら。
IPアドレスは”115.144.69.69”で、持ち主はこの調査ではよく見かける住所の氏名で
「中国広西チワン族自治区鶴山」に在住の方。

次に割出したこのIPアドレスを元にその割り当て地を確認してみます。

表示された地図は、隣国の首都付近。
この地図もこの調査でよく見かける場所です。

では、リンク先のサイトへ安全な方法で接続してみます。
表示されたのは「お名前.com」のログインページ。

もちろん完璧にコピーされた偽サイトです！

本物のお名前.comさんのログインページのURLはこちらです。

ね、ちゃんと”onamae.com”って正規ドメイン使ってるでしょ？
お間違いないように！

まとめ

差出人のメールアドレスが正規ドメインに偽装されていないので「私な偽物ですよ」と
言っているようなものです。
もちろん正規ドメインのメールアドレスに偽装されたフィッシング詐欺メールも多くあるので
それだけを鵜呑みにするのは危険ですが…

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)