『詐欺メール』「【重要なお知らせ】ＥＴＣサービスアカウントのからの緊急の連絡、情報を更新してください。」と、来た件

2022年3月16日

ETC利用照会サービスって使う？

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

1. ETC利用照会サービスさんのドメインは”etc-meisai.jp”
2. メールアドレスの偽装は無し
3. アルファベットがすべて全角
4. まとめ

ETC利用照会サービスさんのドメインは”etc-meisai.jp”

久しぶりにETC利用照会サービスを騙ったフィッシング詐欺メールのご紹介です。
と言っても、本文文面は他のクレジットカード会社を騙ったものと同じで見慣れたもの。

では早速、メールのプロパティーから見ていきましょう。

件名は
「[spam] 【重要なお知らせ】ＥＴＣサービスアカウントのからの緊急の連絡、情報を更新してください。メール番号:M89422」
メール番号が付けられている詐欺メールが最近は多くなってきていますが、これはこのメールの
信憑性を高めようと付けられた適当な通し番号で全く意味がありません。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”ETC利用照会サービス事務局” <pysbvxi@service.geaobm.cn>」
ETC利用照会サービスさんには”etc-meisai.jp”という立派なドメインが有ります。
そんなドメインが有るのに、わざわざ中国のトップレベルドメインを使ったメールアドレスで
メールを送るなんてありますでしょうか？(笑)

メールアドレスの偽装は無し

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<pysbvxi@service.geaobm.cn>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<20220316052524277064@service.geaobm.cn>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from service.geaobm.cn (service.geaobm.cn [107.175.83.121])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

まずこの差出人のメールアドレスに真偽について確認してみます。
これはドメイン”service.geaobm.cn”の情報を取得した画面です。

登録者氏名は、日本ではあまり見かけない漢字3文字。
そしてこのドメインを割当てているIPアドレスは”107.175.83.121”
”Received”に記載があるものと同じなので差出人のメールアドレスは正ということになります。

では、このIPアドレス”107.175.83.121”を使ってそのサーバーの情報を拾ってみます。

表示された地図は、ニューヨーク州バッファロー付近。
このメールは、この辺りに設置されたメールサーバーから送られてきたようです。

アルファベットがすべて全角

では本文です。

ＥＴＣ利用照会サービスいただき、ありがとうございます。

このたびはＥＴＣ利用照会サービスのご利用に際し、ご不便をおかけし申し訳ございません。
ＥＴＣ利用照会サービスでは、不正利用防止および利用者保護の観点より、一時的にご利用を

制限ご連絡させていただきました。
ご回答をいただけない場合、サービスのご利用制限が継続されることもございますので、

予めご了承下さい。

よく見てください。
アルファベットがすべて全角文字で書かれています。
まぁ好みの問題もあるのかも知れませんが、フィッシング詐欺メールの場合、全角の
アルファベットが良く使われます。
これもその判断に役立つ情報ですので覚えておいて損はありません。

このメールの最大の目的は、詐欺サイトへのリンクを押させること。
そのリンクは「■ご利用確認はこちら」と書かれている部分に付けられています。
そのリンク先のURLはこちら。

このサイトの危険性をノートンの「セーフウエブレポート」で確認してみると。

「注意」とされているだけであまり脅威とは認識されていないようです。

このURLで使われているドメインは、サブドメインを含め”curly-grass-087c.xaseca68641404.workers.dev”
このドメインについても調べてみました。

ご覧の通り見事にプライバシー保護されています。(;^_^A
スズメの涙程度の情報から分かるのは、申請がカナダから行われていて、ドメインの管理は
”101domain”と言う企業であること。
そしてこのドメインをドメインを割当てているIPアドレスは”172.67.146.212”
このIPアドレスを元にその割り当て地を確認してみます。

表示された地図は、カナダのトロント付近。

ここで詐欺を行うために設置されたウェブサイトがこちらです。

これはETC利用照会サービスさんのログインページを模したものです。
きっと本家のサイトを丸ごとダウンロードして複製されたものと思われます。
絶対にログインしたりしないでください。

まとめ

最近少し鳴りを潜めていたETC利用照会サービスさんを騙ったフィッシング詐欺メール。
またここにきて復活ですね。
ETCの利用確認って企業や自営の方ならともかく一般の方々はあまり利用しないような
気がしますがどうでしょうか？
それでもフィッシング詐欺の標的にされているのでそれなりの被害はあるのでしょうね。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)