「Club J-WEST」に成りすました詐欺メール同一犯か便乗か、JR東日本の次はJR西日本ですが… 先日来お伝えしているJR東日本が運営する「えきねっと」に成りすましたフィッシング詐欺 メール横行の話題。 予想をしていたことですが、今度はJR西日本の「Club J-WEST」に成りすました詐欺メールを 受信しました。 「Club J-WEST」とは、JR西日本が提供する会員サービス。 そのメールこちらのメール。  件名は 「【重要 JR西日本:Club J-WEST】アカウントはチケットの購入を制限します」 「アカウントはチケットの購入を制限します」なんてちょいと日本語がおかしな件名ですね。 いつも詐欺メールには付けられている”[spam]”ってスタンプがありませんが、このメールは 明らかに迷惑メールの類です。 だって私、「Club J-WEST」ユーザーじゃありませんもの。(笑) それにしてもここ最近スパムィルターを潜り抜けてくるメールが多くなった気がしますが… 差出人は 「”jr-odekake” <admin@jr-odekake.net>」 調べてみると”jr-odekake.net”はJR西日本が運営する「Club J-WEST」と連動する観光サービス 「JRおでかけネット」の正規ドメイン。 もちろん言うまでも無くこのメールアドレスは偽装されています。
ヘッダーでバレバレでは、その偽装疑惑を含め、このメールのヘッダーソースから調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<jreast@am9n9.shop>」 あらら、早速ボロが出ましたね。 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 でも、このメールアドレスのドメインが差出人のものと食い違う場合は偽装確定! | Message-ID:「<20220310071601786580@am9n9.shop>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from am9n9.shop (am9n9.shop [113.31.116.202])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
差出人のメールアドレスは、おそらく”am9n9.shop”ってドメインのもの。 一応確認してみることに。  やはり”am9n9.shop”を割当てているIPアドレスは”113.31.116.202”で”Received”にあった IPアドレスと全く同じなので、この差出人のメールドメインは”am9n9.shop”で確定で、 ”jr-odekake.net”ではありません。 このドメインは、中国のアリババクラウドに管理が委託されているようです。 このIPアドレスを元にその割り当て地を確認してみると「中国河南省 鄭州市 金水区」付近が 表示されましたので、このメールはこの付近に設置されたサーバーが発信元のようです。 
なぜか説明を連呼するメールでは、本文を見ていきましょう。  よほどリンクを押してほしいのでしょうか、なぜか説明文が連呼されています。(笑) そのリンクは、パソコン版とスマホ版でわざわざ2通り作られて直書きされていますが、 実はこのどちらも偽装。 実際はどちらも同じサイトへ接続される仕組みとなっていました。 そのサイトのURLはこちらです。  まずはこのサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認。  既に危険なサイトとして確認されており、そのカテゴリは「詐欺サイト」との認識です。 このサイトで使われているドメインはサブドメインを含め”www.jr-odekake.net.uuvpp78.cn” このドメインの持ち主とその割り当て地を確認してみます。 まずは持ち主から。  結果はご覧の通りです。 このドメインを割当てているIPアドレスは”198.144.183.186”らしいので、このIPアドレスを 元にその割り当て地を確認してみます。  貯水池の中になっちゃっていますが、ここはアメリカ合衆国 カンザス州 チーニー付近。 こんなところで悪事をはたらくサイトを運営しているんですね。 そのサイトがこちらです。  完全なコピーサイトです。 適当なアカウントでログインしてみると、「システムはあなたのアカウントが無効になった ことを検知し、あなたは再登録する必要があります。ありがとう」 なんて片言の日本語が書かれた個人情報入力フォームが表示されました。(笑)  面倒なのでこの先には進みませんでしたが、次のページではきっとクレジットカード情報を 求めるフォームが表示されることでしょう。
まとめ今後その他のJRグループ会社が運営するネットサービスなんかも標的にされるのでしょうか? こういった情報ができるだけたくさんの方々に拡散で被害が最小限に納まれば良いのですが… 非力ですが発信を続けたいと思います。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |