『詐欺メール』「「えきねっと」サービスが一時停止されました。」と、来た件

「えきねっと」の詐欺メール多すぎ

相変わらず「えきねっと」のフィッシング詐欺メールが大発生中ですね。
今朝もまずこの「えきねっと」の名を借りた詐欺メールのご紹介です。

詐欺メールではよくあることですが、どことなく日本語に違和感のあるこのメール。

件名は
「[spam] 「えきねっと」サービスが一時停止されました。」
「えきねっと」はJR東日本が管理運営するインターネットサービス。
私の守備範囲は東海地方でそのユーザーではありません。(笑)
それに件名には”[spam]”とスタンプが付けられているので迷惑メールの類なのは一目瞭然。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「えきねっと <eki-customer9@nlugjoc.cn>」
毎回同じくだりで申し訳ありませんが、初めての方もいらっしゃると思うのでこれだけは
やらしてください。(笑)
「えきねっと」さんには”eki-net.com”と言う立派な自社ドメインが有ります。
国内の巨大企業が自社ドメインではないメールアドレスでユーザー宛にメールを送ることは
絶対にありません。
それになんですか”nlugjoc.cn”なんて中国ドメインじゃないですか…

シンガポールのサーバーから発信

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

まずは、差出人のおメールアドレスの真偽について調べてみます。
使われていたドメインは”nlugjoc.cn”このドメインを割当てているIPアドレスを調べます。

割当てているIPアドレスは”137.220.216.28”と出ています。
”Received”にあるものと同じなので、メールアドレスの偽装はありません。

このドメインの持ち主は、漢字2文字の氏名の方で、管理はアリババに委託されています。
このIPアドレスを元にその割り当て地を確認してみます。

シンガポールの地図が表示されていますので、このメールはシンガポールにあるサーバーが
発信元のようです。

偽サイトはロスで運営

続いて本文です。

いちいち言及はしませんが、あちらこちら日本語の表現に難があるこのメールは、機械翻訳
されたものだと想像が付きます。
このつたない日本語を駆使して誘い込むリンクは「→ご変更はこちらから」と書かれた部分に
付けられています。
そのリンク先のURLはこちら。

まずはこのサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認
すると、既に「危険」なサイトとして認識されており、そのカテゴリは「詐欺サイト」です。

このサイトのURLで使われているドメインはサブドメインを含め”www.eki-net.montaly.shop”
このドメインについても調べてみました。

何かトラブルがあるようでドメインの詳細は取得できませんでした。

このドメインをドメインを割当てているIPアドレスは”155.94.143.126”と言うことなので
こちらを追ってみることにします。

表示されたのはアメリカのロサンゼルス近郊の地図。

この地で運営されているフィッシング詐欺サイトがこちらです。

これは「えきねっと」さんの偽サイトですから、ログインしてはいけません。(;^_^A

まとめ

「えきねっと」のフィッシング詐欺メールが最初に届いてからやく2週間。
相変わらず毎日数通づつ届き続けています。
もうそろそろ詐欺メールであることが浸透してきていると思うのですが、気の長い詐欺師です。
これに便乗した、JR各社のフィッシング詐欺メールも確認されていますのでご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;