三井住友カードのドメインは”smbc-card.com”三井住友カードセキュリティーセンターに成りすまし、ユーザーがいとしないパスワードの 再登録の申請があったように見せかけた手口のフィッシング詐欺メールもが到着。  このメールもプロパティーから見ていきましょう。 件名は 「[ 三井住友カード]のセキュリティ通知」 明らかに詐欺メール何にこの件名には”[spam]”とスパムスタンプが付ついていません。(;^_^A ちょいちょいやらかすんですが、うちのサーバーセキュリティーの怠慢ですね! 差出人は 「三井住友カード <cepmvizrl@marucafe.shop>」 三井住友カードさんは”smbc-card.com”って立派なドメインをお持ちです。 それなのにわざわざよその”marucafe.shop”なんてドメインのメールアドレス使うはずが ありません! それ以前にこの”marucafe.shop”も実際に差出人のものかどうかわかりませんがね。
さくらインターネットの石狩DCが出所か!?では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<cepmvizrl@marucafe.shop>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<F16C0A743B5D5DD9848EAFC1CDA4B43B@marucafe.shop>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from marucafe.shop (unknown [153.125.145.50])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
まず、メールアドレスに使われているドメイン”marucafe.shop”の真偽について調べます。  このドメインを割当てているIPアドレスは”54.249.246.233”って事なので”Received”にある 物とは全く異なります。 この結果からこの差出人のメールアドレスは偽装されていることが発覚しました! では、この”Received”にあったIPアドレス”153.125.145.50”を使ってそのサーバーの情報を 拾ってみます。  表示されたのは、北海道に石狩市付近の地図。 そして左側のプロバイダー名には「SAKURA Internet Inc.」とあり、「さくらインターネット」 のユーザーであることが分かります。 そう、賢明な方ならお分かりだと思いますが、「さくらインターネット」さんには石狩に データーセンターがありますよね。 今回は、そこのメールサーバーが使われたようですね。
意としない通知で焦らせる手口続いて本文です。 平素は「Vpass」をご利用いただきまして、ありがとうございます。 サービスID通知/パスワード再登録のお申込みを承りました。 (受付日時 2022/03/17 22:07:46) |
Vpassは、三井住友カード会員のためのインターネットサービス。 この本文は、そのIDとパスワードの再登録申請が行われたという通知ですね。 意としない通知なので、このメールを詐欺メールだと知らない方は、慌ててリンクを 押してしまいますよね。 そのリンクは「下記URLにアクセスし、必要な情報を入力して、手続きを行ってください。」 と書かれている次の行に直書きされています。 そのサイトのURLがこちらです。  まずはこのサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認 してみると、既に危険なサイトとして認識されていました。 そのカテゴリは「フィッシング」とされています。  次にここで使われているドメイン”vpass.reic-rtc.jp”について。  あの…これ出しちゃっていいのでしょうか… 調べりゃすぐに判っちゃうんだけど、とある団体のドメインにサブドメインを足したものが このサイトのドメインでした。(汗) もしかしたら、この団体のサーバーが詐欺師に乗っ取られているかも知れません。 このドメインをドメインを割当てているIPアドレスは”115.144.69.8”って事なので、 このIPアドレスを元にその割り当て地を確認してみます。  そう、さくらインターネットユーザーと隣国の首都はセットでしたね。 リンク先のサイトへ安全な方法で接続してみました。  表示されたのは、三井住友カードのホームページ。 もちろん、偽サイトですよ! 間違ってもログインしたりしないでくださいね!!
まとめあの手この手と様々な手を使って騙そうとしてきますね。 どうしたってどこかに真偽を見分けるポイントが隠れています。 それを見逃せば奴らの術中にはまってしまうので、特にクレジットカード会社から 送られてくるメールには目を光らせておく必要があります。 では、お気を付けてお過ごしください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |