三菱UFJ銀行を名乗る詐欺メール そんな私事はそれくらいにして、今朝もたくさん届いている中からこちらのメールを ご紹介しようと思います。 三菱UFJ銀行を名乗り、カタコトの日本語を巧みに操るフィッシング詐欺メールです。(笑) では、メールのプロパティーから見ていきましょう。 件名は 「[spam] 三菱UFJ会社から緊急のご連絡」 この件名で今までに2度ほどブログエントリー書かせていただいていますが、本文内容が 違ったので、続編として改めてエントリーさせていただきます。 ご覧の通りこの件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”三菱UFJニコス Net Branch” <mufg.jp@ulnnnkv.cn>」 「Net Branch」は、三菱UFJニコスカード会員専用のウェブサービスの事。 三菱UFJニコスさんには”mufg.jp”という立派なドメインをお持ちなのに”ulnnnkv.cn”なんて わざわざ中国のトップレベルドメインを使ったものでユーザーにメール配信するでしょうか? 絶対にしませんよね! 常習犯の仕業か?! では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<mufg.jp@ulnnnkv.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20220317030139005736@ulnnnkv.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from ulnnnkv.cn (an9on2.shop [117.50.179.134])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | まずは、差出人のメールアドレスの真偽を確かめてみます。 メールアドレスに使われているドメインは”ulnnnkv.cn”でしたのでこのドメインの情報を 取得してみます。 持ち主のお名前は、これらの調査でよく見かける方で、私には読めない字を含む漢字3文字の 氏名の方。 ドメイン管理は中国のアリババに委託されていますね。 そしてこのドメインを割当てているIPアドレスは”117.50.179.134” このIPアドレスは”Received”に書かれているものと同じなのでアドレス偽装の疑いは ありませんでした。 ただ1点気になるのが、”Received”に書かれているドメイン”an9on2.shop” もしやと思いこのドメインも調べてみると。 やっぱり同じIPアドレスに割当てていますね。 この方、少なくとも2つ以上のドメインを使い分けているようです。 そう言えば、この数字と”.shop”を使ったドメインパターンって何度か見た記憶があります。 ではこのIPアドレスを元にその割り当て地を確認してみます。 最近よく見掛ける、天安門広場の東側辺りの地図が表示されました。 それと、このIPアドレスは危険度は知られているようで、脅威レベルは「高」とされ そのカテゴリは「メールによるサイバーアタック」とされています。 まさにフィッシング詐欺メールです。 リダイレクトで点々とサイトのURLを変えている?! 続いて本文です。 三菱UFJ銀行利用いただき、ありがとうございます。 アカウントに不適切なログインが検出されたため、アカウントの制限を許可し、 24時間以内にアカウントのセキュリティを確認して、プロパティの安全性を 確保してください。最近、詐欺事件が多発しているため、お客様の口座のセキュリティを 確保するため、銀行のセキュリティシステムをアップグレードしました。 お早めに個人情報の更新を完了してください。ご不便をおかけしますが、ご了承ください。 | まあ、翻訳機を使っているようであまり上手な日本語じゃありませんね。 このメール本文もご多分に漏れず、セキュリティーシステムのアップグレードで個人情報を リンク先へ行って更新するように求めてきています。 そのリンク先は直書きされたURLのようですが、これちょっと違うんですね。 だってURLのドメイン部分に”?”が入っちゃっていますもん。 ”ipnzoo6.cn?ufj” ”?”の入ったドメインなんて見たことないでしょ? 意図的なのか、文字化けでもしたのか知りませんが、実際にリンクされているURLがこちら。 長ったらしいURLですねぇ…(;^_^A このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認。 やはり危険なサイトとして登録されています。 そのカテゴリはもちろん詐欺サイト。 このURLで使われているドメインは”ipnzoo6.cn” このドメインもその情報を取得してみました。 持ち主は、メールアドレスのドメイン”ulnnnkv.cn”と同じ方でした。 割当てているIPアドレスは”23.94.73.208”とあるので、このIPアドレスを元にその割り当て地を 確認してみます。 出てきたのはアメリカシアトル付近の地図。 リンクのサイトへ安全な方法で接続してみると、表示されたのは三菱UFJニコスカードの 偽サイト。 よく見ると先程のURLと異なっています。 どうやらリダイレクトされたようですね。 新しいURLはこちら。 足が付いても捕まらないようにリダイレクトで点々とサイトのURLを変えているようですね。 それが証拠に、トレンドマイクロの「サイトセーフティーセンター」ではこのように 未評価とされています。 なかなか手ごわいですね…(^-^; 面倒ですが、ここで使われているドメイン”kpkkjar.cn”についても調べてみたところ 持ち主はやっぱり同じ人物で、割当てているIPアドレスも同じでした。 まとめ ちょっと長編になってしまいました…(;^_^A 最後までお読みくださりありがとうございました。 三菱UFJに限らずカード会社に成りすましたメールは本当に多いのでご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |