ETC利用照会サービスさんのドメインは”etc-meisai.jp”久しぶりにETC利用照会サービスを騙ったフィッシング詐欺メールのご紹介です。 と言っても、本文文面は他のクレジットカード会社を騙ったものと同じで見慣れたもの。 では早速、メールのプロパティーから見ていきましょう。 件名は 「[spam] 【重要なお知らせ】ETCサービスアカウントのからの緊急の連絡、情報を更新してください。メール番号:M89422」 メール番号が付けられている詐欺メールが最近は多くなってきていますが、これはこのメールの 信憑性を高めようと付けられた適当な通し番号で全く意味がありません。 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”ETC利用照会サービス事務局” <pysbvxi@service.geaobm.cn>」 ETC利用照会サービスさんには”etc-meisai.jp”という立派なドメインが有ります。 そんなドメインが有るのに、わざわざ中国のトップレベルドメインを使ったメールアドレスで メールを送るなんてありますでしょうか?(笑)
メールアドレスの偽装は無しでは、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<pysbvxi@service.geaobm.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20220316052524277064@service.geaobm.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from service.geaobm.cn (service.geaobm.cn [107.175.83.121])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
まずこの差出人のメールアドレスに真偽について確認してみます。 これはドメイン”service.geaobm.cn”の情報を取得した画面です。 登録者氏名は、日本ではあまり見かけない漢字3文字。 そしてこのドメインを割当てているIPアドレスは”107.175.83.121” ”Received”に記載があるものと同じなので差出人のメールアドレスは正ということになります。 では、このIPアドレス”107.175.83.121”を使ってそのサーバーの情報を拾ってみます。 表示された地図は、ニューヨーク州バッファロー付近。 このメールは、この辺りに設置されたメールサーバーから送られてきたようです。
アルファベットがすべて全角では本文です。 ETC利用照会サービス いただき、ありがとうございます。 このたびはETC利用照会サービスのご利用に際し、ご不便をおかけし申し訳ございません。 ETC利用照会サービスでは、不正利用防止および利用者保護の観点より、一時的にご利用を 制限ご連絡させていただきました。 ご回答をいただけない場合、サービスのご利用制限が継続されることもございますので、 予めご了承下さい。 |
よく見てください。 アルファベットがすべて全角文字で書かれています。 まぁ好みの問題もあるのかも知れませんが、フィッシング詐欺メールの場合、全角の アルファベットが良く使われます。 これもその判断に役立つ情報ですので覚えておいて損はありません。 このメールの最大の目的は、詐欺サイトへのリンクを押させること。 そのリンクは「■ご利用確認はこちら」と書かれている部分に付けられています。 そのリンク先のURLはこちら。 このサイトの危険性をノートンの「セーフウエブレポート」で確認してみると。 「注意」とされているだけであまり脅威とは認識されていないようです。 このURLで使われているドメインは、サブドメインを含め”curly-grass-087c.xaseca68641404.workers.dev” このドメインについても調べてみました。 ご覧の通り見事にプライバシー保護されています。(;^_^A スズメの涙程度の情報から分かるのは、申請がカナダから行われていて、ドメインの管理は ”101domain”と言う企業であること。 そしてこのドメインをドメインを割当てているIPアドレスは”172.67.146.212” このIPアドレスを元にその割り当て地を確認してみます。 表示された地図は、カナダのトロント付近。 ここで詐欺を行うために設置されたウェブサイトがこちらです。 これはETC利用照会サービスさんのログインページを模したものです。 きっと本家のサイトを丸ごとダウンロードして複製されたものと思われます。 絶対にログインしたりしないでください。
まとめ最近少し鳴りを潜めていたETC利用照会サービスさんを騙ったフィッシング詐欺メール。 またここにきて復活ですね。 ETCの利用確認って企業や自営の方ならともかく一般の方々はあまり利用しないような 気がしますがどうでしょうか? それでもフィッシング詐欺の標的にされているのでそれなりの被害はあるのでしょうね。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |