『詐欺メール』「【JCBカード】重要なお知らせ」と、来た件

2022年3月8日

メールコードにご注意を

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

1. JCBカードに成りすます詐欺メール
2. アドレス偽装を暴く！
3. リンクのURLをしっかり確認する
4. まとめ

JCBカードに成りすます詐欺メール

JCBカードもフィッシング詐欺メールでよく使われるクレジットカードです。
そんなJCBカードに成りすましたメールが今朝も複数届いていおり、その中の1通が
こちらのメールです。

では、このメールもプロパティーから見ていきましょう。

件名は
「[spam] 【JCBカード】重要なお知らせ [メールコード M949550]」
メールコードは最近よく使われる手法で、ただ単に適当に付けられた記号と連番。
メールに信憑性を持たせるためだけに付けられたものです。
このメールには”[spam]”とスタンプが付けられているので迷惑メールの類だと分かります。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”MyJCB” <info@jcb.co.jp>」
アドレスのドメインを見ると”jcb.co.jp”とJCBカードの正規ドメインが書かれていますが
このメールは件名の”[spam]”が示す通り詐欺メールですから偽装工作がなされています。
その辺りも含め次の項で暴いていきましょう。

アドレス偽装を暴く！

これは、このメールのヘッダーソースから抜き出した「フィールド御三家」です。

Return-Path: 「<support@rhcwh.cn>」

あらら、”rhcwh.cn”なんてドメイン見えちゃいましたね。
調べる前にボロだしちゃいましたね…(笑)
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<20220307023423547146@rhcwh.cn>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from rouheng.cn (unknown [107.173.229.118])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

もう既に”rhcwh.cn”なんてドメイン見えちゃいましたが、差出人のメールアドレスが本当
なのかどうか”jcb.co.jp”のIPアドレスとメールのヘッダーソースにある”Received”の
IPアドレスと比較してみます。
これが”jcb.co.jp”を割り当てているIPアドレス。

”104.18.166.43”と記載されています。
”Received”の”107.173.229.118”と同じでなければなりませんが、全く異なることが
分かりますよね。
これで偽装確定です！

では、この”Received”にあったIPアドレスを使って関連情報を拾ってみます。

このIPアドレスに割当てているドメインはやはり”Return-Path”に書かれていた通り
”rhcwh.cn”でした。
このドメインの持ち主は、私には読むことのできない漢字2文字の氏名の方。
ドメイン管理は中国企業のアリババに委託されています。

今度はこのIPアドレスを元にその割り当て地を確認してみました。
表示されたのはカナダのオンタリオ州ハミルトン付近。

おおよそこの位置にあるメールサーバーからこのメールは発信されたことになります。

リンクのURLをしっかり確認する

ではメールの本文を見ていきます。

なんだかメルマガのような装飾のある書き出しです。

書いてあるのは、フィッシング詐欺メールではよくあるネタのセキュリティシステムの
アップグレートのための個人情報更新依頼。
クレジットカード会社のように登録情報がしっかり管理されている企業なら、ユーザーの
情報はデーターベースに保存されているはずなので、いくら大きなシステム更新が有ろうとも
ユーザーに個人情報を更新しろなんて指示するわけがありません。

こんな手段で誘導するのが「JCBの会員専用WEBサービス」と書かれた詐欺サイトへのリンク。
そのリンク先のURLがこちら。

あれれ？”etc”…
もしかしてこの犯人ってETC利用照会サービスを騙った詐欺もやってたりする？(笑)

まずは、このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で
確認してみました。
結果はこんな感じで、既に詐欺サイトとして認識されていました。

このURLで使われているドメインは、サブドメインを含め”etc.tbcps.cn”
例によってこのドメインの情報も拾っておきました。

それほど詳しい情報は取得できませんでしたが、持ち主の氏名は、プロ野球のホームラン記録を
持つ方と同じ苗字で漢字3文字の氏名の方。

このドメインを割当てているIPアドレスは”107.173.148.145”と出ているので、このIPアドレス
を元にその割り当て地を確認してみます。

表示されたのは、アメリカニューヨーク州バッファロー付近。
ここで詐欺サイトを運営しているようです。

その詐欺サイトへ安全な方法でつないでみました。

まぎれもなくJCBユーザー専用サイトMyJCBのコピーサイトです。
絶対にIDとパスワードを入力しないでください。

まとめ

メールアドレスが偽装されているのでぱっと見判断に迷うかも知れませんが、件名に
メールコードが付けられたメールは詐欺だと思ってください。
それに本文を読んでみると、句読点が無かったり「個人情報改善認証」なんてあまり
使われない言葉などなんとなくそれと分かりますよね？
とにかくクレジットカード会社からのメールには十分注意を払ってください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)