「スパムフィルター」の怠慢手広くやっていますね、今度はエネルギー企業に目を付けましたか。 こういう系列企業もクレジットカード出していますもんね。 いや、さすがです…(;^_^A あっ、これフィッシング詐欺メールのお話です。(笑) 架空の支払いを装いリンクに誘い込むフィッシング詐欺メールのですね。 では、いつものようにメールのプロパティーから見ていきましょう。 件名は 「お支払金額のお知らせ」 サーバーセキュリティーシステム「スパムフィルター」の怠慢ですね。 件名にいつもの”[spam]”とスタンプが付けられていません。(^▽^;) でも私、出光カード持っていないのですぐにそれと気づきました。 持ってたとしても簡単に鵜呑みにしませんけどね。(笑) 差出人は 「出光カード <empjdre@rupasika.jp>」 毎度の話で恐縮ですが、信用第一のクレジットカード会社からのメールが、自社のものでない ”rupasika.jp”なんてドメインのメールアドレスを使いません。 出光クレジットは”idemitsucard.com”って立派なドメインをお持ちです。 まずここに一番最初に目を付けてください。 ここで、”rupasika.jp”ってドメインについて少しだけ調べてみました。 このドメインの持ち主は、名古屋にあるペットショップ。 もちろん偽装の可能性が高いと思われるのでこちらのお店が差出人とは限りません。
差出したのはさくらインターネットユーザーでは、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<empjdre@rupasika.jp>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<A2FBEADD685620EFB65B79CFA65C82D0@rupasika.jp>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from rupasika.jp (unknown [163.43.133.178])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
”rupasika.jp”を割当てているIPアドレスの取得ができませんでしたのではっきりしたことは 断言できませんが、Received”のIPアドレスの前に”unknown”と記載されているので恐らく メールアドレスの”rupasika.jp”は偽装だと思われます。 普通に考えたら、お店のドメインを使ってフィッシング詐欺メールを送るなんて考えられま せんので。 では、この”Received”にあったIPアドレス”163.43.133.178”を使ってそのサーバーの情報を 拾ってみます。 出ました「さくらインターネット」 さくらインターネットは国内大手レンタルサーバー。 ここのユーザーがこのメールの差出人です。
サイトは既に閉鎖では本文です。 と言っても書かれているのは「お支払日とお支払金額が確定しましたのでご案内いたします。」 だけ。 差出人にとっては至極簡単ですよね、この1行でリンクを押させてしまうのですから。 で、そのリンクはメールに直書きされている通りこちらのURLです。 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で見ると「安全」 と表示されました。 おかしいなと思ってサイトに出かけてみると、既に閉鎖されていました。 サイトは閉鎖されていてもドメインの持ち主くらいは分かるだろうと、調べてみると かなり詳しい情報まで取得できました。 但し、このドメインも差出人に乗っ取られている可能性も高いので詳しい情報は 伏せておきます。
まとめ最近の「えきねっと」や今回の「出光カード」などどんどん手広くなってきました。 次はどんな手で来るのでしょうか? 危険がいっぱいなのでご注意くださいね。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |