三菱UFJ銀行を名乗る詐欺メールそんな私事はそれくらいにして、今朝もたくさん届いている中からこちらのメールを
ご紹介しようと思います。
三菱UFJ銀行を名乗り、カタコトの日本語を巧みに操るフィッシング詐欺メールです。(笑) では、メールのプロパティーから見ていきましょう。 件名は
「[spam] 三菱UFJ会社から緊急のご連絡」
この件名で今までに2度ほどブログエントリー書かせていただいていますが、本文内容が
違ったので、続編として改めてエントリーさせていただきます。
ご覧の通りこの件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「”三菱UFJニコス Net Branch” <mufg.jp@ulnnnkv.cn>」
「Net Branch」は、三菱UFJニコスカード会員専用のウェブサービスの事。
三菱UFJニコスさんには”mufg.jp”という立派なドメインをお持ちなのに”ulnnnkv.cn”なんて
わざわざ中国のトップレベルドメインを使ったものでユーザーにメール配信するでしょうか?
絶対にしませんよね!
常習犯の仕業か?!では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「<mufg.jp@ulnnnkv.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「<20220317030139005736@ulnnnkv.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from ulnnnkv.cn (an9on2.shop [117.50.179.134])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
まずは、差出人のメールアドレスの真偽を確かめてみます。
メールアドレスに使われているドメインは”ulnnnkv.cn”でしたのでこのドメインの情報を
取得してみます。
持ち主のお名前は、これらの調査でよく見かける方で、私には読めない字を含む漢字3文字の
氏名の方。
ドメイン管理は中国のアリババに委託されていますね。
そしてこのドメインを割当てているIPアドレスは”117.50.179.134”
このIPアドレスは”Received”に書かれているものと同じなのでアドレス偽装の疑いは
ありませんでした。
ただ1点気になるのが、”Received”に書かれているドメイン”an9on2.shop”
もしやと思いこのドメインも調べてみると。
やっぱり同じIPアドレスに割当てていますね。
この方、少なくとも2つ以上のドメインを使い分けているようです。
そう言えば、この数字と”.shop”を使ったドメインパターンって何度か見た記憶があります。 ではこのIPアドレスを元にその割り当て地を確認してみます。
最近よく見掛ける、天安門広場の東側辺りの地図が表示されました。
それと、このIPアドレスは危険度は知られているようで、脅威レベルは「高」とされ
そのカテゴリは「メールによるサイバーアタック」とされています。
まさにフィッシング詐欺メールです。
リダイレクトで点々とサイトのURLを変えている?!続いて本文です。 三菱UFJ銀行利用いただき、ありがとうございます。
アカウントに不適切なログインが検出されたため、アカウントの制限を許可し、
24時間以内にアカウントのセキュリティを確認して、プロパティの安全性を
確保してください。最近、詐欺事件が多発しているため、お客様の口座のセキュリティを
確保するため、銀行のセキュリティシステムをアップグレードしました。
お早めに個人情報の更新を完了してください。ご不便をおかけしますが、ご了承ください。 |
まあ、翻訳機を使っているようであまり上手な日本語じゃありませんね。
このメール本文もご多分に漏れず、セキュリティーシステムのアップグレードで個人情報を
リンク先へ行って更新するように求めてきています。
そのリンク先は直書きされたURLのようですが、これちょっと違うんですね。
だってURLのドメイン部分に”?”が入っちゃっていますもん。
”ipnzoo6.cn?ufj”
”?”の入ったドメインなんて見たことないでしょ?
意図的なのか、文字化けでもしたのか知りませんが、実際にリンクされているURLがこちら。
長ったらしいURLですねぇ…(;^_^A
このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認。
やはり危険なサイトとして登録されています。
そのカテゴリはもちろん詐欺サイト。 このURLで使われているドメインは”ipnzoo6.cn”
このドメインもその情報を取得してみました。
持ち主は、メールアドレスのドメイン”ulnnnkv.cn”と同じ方でした。 割当てているIPアドレスは”23.94.73.208”とあるので、このIPアドレスを元にその割り当て地を
確認してみます。
出てきたのはアメリカシアトル付近の地図。
リンクのサイトへ安全な方法で接続してみると、表示されたのは三菱UFJニコスカードの
偽サイト。
 よく見ると先程のURLと異なっています。
どうやらリダイレクトされたようですね。
 新しいURLはこちら。
足が付いても捕まらないようにリダイレクトで点々とサイトのURLを変えているようですね。 それが証拠に、トレンドマイクロの「サイトセーフティーセンター」ではこのように
未評価とされています。
なかなか手ごわいですね…(^-^; 面倒ですが、ここで使われているドメイン”kpkkjar.cn”についても調べてみたところ
持ち主はやっぱり同じ人物で、割当てているIPアドレスも同じでした。
まとめちょっと長編になってしまいました…(;^_^A
最後までお読みくださりありがとうございました。
三菱UFJに限らずカード会社に成りすましたメールは本当に多いのでご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
