三菱UFJ銀行を名乗る詐欺メール そんな私事はそれくらいにして、今朝もたくさん届いている中からこちらのメールを ご紹介しようと思います。 ![](/wp-content/uploads/2022/03/img_62327268aa154.png) 三菱UFJ銀行を名乗り、カタコトの日本語を巧みに操るフィッシング詐欺メールです。(笑) では、メールのプロパティーから見ていきましょう。 件名は 「[spam] 三菱UFJ会社から緊急のご連絡」 この件名で今までに2度ほどブログエントリー書かせていただいていますが、本文内容が 違ったので、続編として改めてエントリーさせていただきます。 ご覧の通りこの件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”三菱UFJニコス Net Branch” <mufg.jp@ulnnnkv.cn>」 「Net Branch」は、三菱UFJニコスカード会員専用のウェブサービスの事。 三菱UFJニコスさんには”mufg.jp”という立派なドメインをお持ちなのに”ulnnnkv.cn”なんて わざわざ中国のトップレベルドメインを使ったものでユーザーにメール配信するでしょうか? 絶対にしませんよね! 常習犯の仕業か?! では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 まずは、差出人のメールアドレスの真偽を確かめてみます。 メールアドレスに使われているドメインは”ulnnnkv.cn”でしたのでこのドメインの情報を 取得してみます。 ![](/wp-content/uploads/2022/03/img_623276f2cabcc.png) 持ち主のお名前は、これらの調査でよく見かける方で、私には読めない字を含む漢字3文字の 氏名の方。 ドメイン管理は中国のアリババに委託されていますね。 そしてこのドメインを割当てているIPアドレスは”117.50.179.134” このIPアドレスは”Received”に書かれているものと同じなのでアドレス偽装の疑いは ありませんでした。 ただ1点気になるのが、”Received”に書かれているドメイン”an9on2.shop” もしやと思いこのドメインも調べてみると。 ![](/wp-content/uploads/2022/03/img_623278498ef13.png) やっぱり同じIPアドレスに割当てていますね。 この方、少なくとも2つ以上のドメインを使い分けているようです。 そう言えば、この数字と”.shop”を使ったドメインパターンって何度か見た記憶があります。 ではこのIPアドレスを元にその割り当て地を確認してみます。 ![](/wp-content/uploads/2022/03/img_6232798bd0110.png) 最近よく見掛ける、天安門広場の東側辺りの地図が表示されました。 それと、このIPアドレスは危険度は知られているようで、脅威レベルは「高」とされ そのカテゴリは「メールによるサイバーアタック」とされています。 まさにフィッシング詐欺メールです。 リダイレクトで点々とサイトのURLを変えている?! 続いて本文です。 まあ、翻訳機を使っているようであまり上手な日本語じゃありませんね。 このメール本文もご多分に漏れず、セキュリティーシステムのアップグレードで個人情報を リンク先へ行って更新するように求めてきています。 そのリンク先は直書きされたURLのようですが、これちょっと違うんですね。 だってURLのドメイン部分に”?”が入っちゃっていますもん。 ”ipnzoo6.cn?ufj” ”?”の入ったドメインなんて見たことないでしょ? 意図的なのか、文字化けでもしたのか知りませんが、実際にリンクされているURLがこちら。 ![](/wp-content/uploads/2022/03/de53463cedda5168e55bfdb3fcc9b914.png) 長ったらしいURLですねぇ…(;^_^A このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認。 ![](/wp-content/uploads/2022/03/img_62327c7fccad6-1024x603.png) やはり危険なサイトとして登録されています。 そのカテゴリはもちろん詐欺サイト。 このURLで使われているドメインは”ipnzoo6.cn” このドメインもその情報を取得してみました。 ![](/wp-content/uploads/2022/03/img_62327d4cd8141.png) 持ち主は、メールアドレスのドメイン”ulnnnkv.cn”と同じ方でした。 割当てているIPアドレスは”23.94.73.208”とあるので、このIPアドレスを元にその割り当て地を 確認してみます。 ![](/wp-content/uploads/2022/03/img_62327dd64a6aa.png) 出てきたのはアメリカシアトル付近の地図。 リンクのサイトへ安全な方法で接続してみると、表示されたのは三菱UFJニコスカードの 偽サイト。 ![](/wp-content/uploads/2022/03/img_62327e7d8ae58.png) よく見ると先程のURLと異なっています。 どうやらリダイレクトされたようですね。 ![](/wp-content/uploads/2022/03/img_62327f047592a.png) 新しいURLはこちら。 ![](/wp-content/uploads/2022/03/92975b3e6f3a8b2d30cf1cd8c0b5fb5a.png) 足が付いても捕まらないようにリダイレクトで点々とサイトのURLを変えているようですね。 それが証拠に、トレンドマイクロの「サイトセーフティーセンター」ではこのように 未評価とされています。 ![](/wp-content/uploads/2022/03/img_6232801e3227b.png) なかなか手ごわいですね…(^-^; 面倒ですが、ここで使われているドメイン”kpkkjar.cn”についても調べてみたところ 持ち主はやっぱり同じ人物で、割当てているIPアドレスも同じでした。 ![](/wp-content/uploads/2022/03/a958fcebbe29d6cf3e90572c5e7aea28.png) まとめ ちょっと長編になってしまいました…(;^_^A 最後までお読みくださりありがとうございました。 三菱UFJに限らずカード会社に成りすましたメールは本当に多いのでご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |