存在しないドメインからのメール?!おなじみの文面を使いまわすフィッシング詐欺メール。 今度は、ジャックスカードに成りすましたようです。 ほんと見飽きた文面ですね。 冒頭のクレジットカード会社の名称と末尾の署名だけ変えているだけなのでいくらでも 使いまわすことができます。 件名は 「[spam] 【重要なお知らせ】ジャックスカード ご利用確認のお願い」 この件名もクレジットカード会社の名称を変えてるだけです。 ”[spam]”とスタンプが付けられていますがそれ以前の問題。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”ジャックスカード” <no-reply@jaccss.word>」 ”jaccss”って”s”が1つ多くありませんか? それに残念ですが、ジャックスカードさんの正規ドメインは”jaccs.co.jp” すぐに判るような嘘はつかない方が良いですよ。(笑) それ以前にこのメールアドレスだって偽装されているかも知れませんよ! サクッと”jaccss.word”の存在を確認してみると、ほら…
危険なIPアドレス?!では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<auj@jaccs.co.jp>」 あら、今度は”jaccss.word”じゃなくて”jaccs.co.jp”ですか。 一般的にここに記載されるのは差出人アドレスと同じドメインのはずですから ここも偽装されています。 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<6A87589E64BD1F71D6EAC5AD065AFA6C@jaccs.co.jp>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from jaccs.co.jp (unknown [106.13.102.124])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、この”Received”にあったIPアドレス”106.13.102.124”を使ってその情報を 拾ってみます。 表示されたのは、北京市にある天安門広場の東辺りの地図。 それにこのIPアドレスは、既に危険として登録されていて、そのカテゴリはメールによる サイバーアタックとされています。
サイトは既に閉鎖それでは本文。 と、行きたいところなんですが、もう何度もご紹介して見飽きた文面なので本文の紹介は 飛ばしリンクのURLの調査に進みます。 このメールには3か所のリンクが付けられておりそのどれもがこちらのURLに接続されるよう になっています。 ”jacaacs”って、今度は”a”が1つ多いんですね。(笑) では、いつのようにこのサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」 で確認してみましょう。 予想通り既に危険なサイトとして認識されていました。 そのカテゴリもフィッシングとなっています。 このURLで使われているドメインは”jacaacs.icu” 調べてみると、このドメインは既に破棄されたようです。 当然リンク先のサイトも閉鎖されていて繋いでみたらGoogleの検索サイトにつながりました。
まとめこのメールが届いたのが昨夜の18時43分。 本当に詐欺サイトの旬は短く一瞬で消滅してしまいますね。 今回は、ドメインごと消滅しているのでこのサイトで被害に遭うことは今後無いと 思われますが、悪意を持ったメールが多いのでご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |