今度は「モバイルSuica」か…「えきねっと」騒動が冷めぬ前に、今度は「モバイルSuica」を標的にしたフィッシング詐欺 メールがお出ましになりました! JR東海エリアの私にこのようなメール送られてもねぇ… でも、モバイルSuicaをお持ちの方々にお知らせしておかないといけないので早速プロパティー から見ていきます。 件名は 「[spam] 「モバイルSuica」お支払い情報更新」 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「モバイルSuica <info@mobilesuica.com>」 確かに”mobilesuica.com”はJR東日本名義で取得されているドメインです。 でも、それを鵜呑みにしてはいけませんよ! その辺を次の項で暴いていきましょう。
差出人は「INTERQ」さんのユーザー?!では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<ohwhu@azorg.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 早速中国のトップレベルドメインを使ったメールアドレスが露呈してしまいましたね。 もうこの時点で「真っ黒」です。 | Message-ID:「<360EB4546DEB59634FEB7F862009F7C3@azorg.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from azorg.cn (v118-27-121-185.pncf.static.cnode.io [118.27.121.185])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
ってことで、この差出人の”info@mobilesuica.com”は嘘でした。 本当の差出人のメールアドレスのドメインは”azorg.cn”でもなく”Received”書かれている ”static.cnode.io”と断定できます。 そしてこの差出人は”static.cnode.io”って事なので古くからのご常連さん。 ドメインとIPアドレスの関連性を調べてみましたが、このドメインは”Received”に書かれて いるIPアドレスに割り当てられられていることが分かりました。 では、このIPアドレス”118.27.121.185”を使ってそれにまつわる情報を拾ってみます。 まず、この差出人は「INTERQ」さんのユーザー。 そしてこのIPアドレスは、既に危険なものとして周知されています。 そのカテゴリは「メールによるサイバーアタック」 表示されている地図は「東京都千代田区内神田」付近なので、差出人の利用したメールサーバー は、この辺りにあるようです。
今現在、詐欺サイトは無防備!そして本文。 Suicaをご利用のお客さま 利用いただき、ありがとうございます。Suicaのお支払い方法に問題があります。 Suicaの利用を一時停止しました。 Suicaの支払い方法を更新してください。 |
素っ気ない文章ですね。 Suicaの利用を一時停止たとは書かれていますが、その理由はどこにも書かれていませんよね。 それを突き止めようと皆さんリンクを押してしまうんですよね。 そのリンクは、メールに直書きされたこちらのURL。 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認して みましたが、「未評価」とされており、まだ周知されていないので注意が必要です! このURLで使われているドメインは、サブドメインを含め”mobiliesuisa.com.zainenergy.com” このドメインの情報も調べてみます。 このドメインの持ち主は、カナダのバンクーバーにある企業です。 このドメインを割当てているIPアドレスは”204.44.76.234”とあるので このIPアドレスを元にその割り当て地を確認してみます。 表示されたのは、アメリカロサンゼルス付近の地図。 そしてこのIPアドレスも脅威レベルは「高」とされていて、そのカテゴリはウェブによる サイバーアタックと書かれています。 このサイトに安全な方法で接続してみました。 ウイルスバスターに遮断されることも無く、全く無防備に接続されました。 絶対にログインしないで下さい!
まとめ「えきねっと」の次は「モバイルSuica」ですか。 敵も色々考えてきますね。 次はどのような手を使ってくるのか見ものです。 とにかくこういったメールが届いても安易にリンクを開かず、本家サイトをネットで検索して ログインするように心掛けてください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |