日本の大手信販会社が”.cc”で?!暖か日が続いたと思ったら、また平年並みの日が続いたり、春は三寒四温ですね。 それにスギ花粉飛散もピークに達していて私をはじめ花粉症かたには嫌な季節ですが、お花見シーズンも間近。 頑張って乗り切りましょう! さて、話は変わって例の話題。 今朝は、日本の大手信販会社「JACCSカード」さんを名乗るフィッシング詐欺メールの話題。 こちらがその詐欺メール。 見難い方はクリックし拡大してご覧いただければと思います。 書いてあるのは、ポピュラーなものでシステムアップグレードに伴って登録されている 個人情報を指定のリンク先から更新してくださいと言うもの。 いつもの事ですが、システムアップグレードだろうが何だろうが、最初の登録時の情報は データーベースとしてジャックスカードさんに絶対の残っているはずなので、そのために 個人情報を更新しろっていうのはありません。 では、メールのプロパティーから見ていきましょう。 件名は 「[spam] <重要>JACCSご利用のお客様:必ずお読みください」 はい、この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”JACCS” <noreply-admin@rcnews.cc>」 ドメインを見ると”.cc”とされています。 これはオーストラリア領ココス諸島に割り当てられているトップレベルドメイン。 1年目だけなら380円ほどで取得できる格安系ドメインで、それ故にサイバー犯罪の温床と されることが多いのも事実です。 Jaccsカードさんは”jaccs.co.jp”って立派なドメインをお持ちです。 日本の大手信販会社が自社ドメインが有るにも関わらず”rcnews.cc”なんてわざわざ 危険度の高いドメインのメールアドレスでユーザーにメールを送ると思いますか? あり得ませんよね! でも、それ以前に”noreply-admin@rcnews.cc”なんてメールアドレスも眉唾ですけど。
差出人のメールアドレスの真偽は「真」では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<noreply-admin@rcnews.cc>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<E9EE746DFCC08F877D0AC6C99FCD6C79@ecxerwq>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from ecxerwq (unknown [164.88.150.138])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
まずメールアドレスに使われているドメイン”rcnews.cc”の真偽について調べるべく 情報を取得してみます。 ”Received”にあったIPアドレスと同じなので、差出人は自身のものをそのまま使っています。 では、この”Received”にあったIPアドレス”164.88.150.138”を使ってそのサーバーの情報を 拾ってみます。 表示されたのは、アメリカノースカロライナ州シャーロット付近。 この辺りにあるメールサーバーから送られてきたようです。
今のところ危険サイトとしてに認識は低いでは、本文です。 JACCS ご利用のお客様 JACCS ご利用いただきありがとうございます。 この度、当社はセキュリティシステムの大幅なアップグレードを実施しているため、 ご登録された個人情報を再確認する必要がございます。 つきましては、以下へアクセスの上、ご登録された個人情報の確認にご協力を お願い致します。 ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、 予めご了承下さい。 |
ま、フィッシング詐欺メールではありがちな本文ですね。 こういったメールの一番の目的は、リンクを押させフィッシングサイトに誘導すること。 この後に「確認」と書かれた黄色いボタンにそのリンクが付けられています。 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」でその 危険度を確認してみました。 この結果を見ると、危険なサイトと認識はされていますが、まだ情報が不十分のようです。 このサイトのURLで使われているドメインは、サブドメインを含め”www.bf0kk.cn” このドメインも情報を取得してみます。 このドメインは「北京新网数码信息技术有限公司」って中国の企業が代行して申請しています。 申請者本人の氏名は、私たち凡人では読めない漢字2文字の氏名でした。 このドメインをドメインを割当てているIPアドレスは”204.44.93.234” 今度はこのIPアドレスを元にその割り当て地を確認してみます。 表示されている地図は、ロサンゼルス付近。 この付近で営まれているフィッシングサイトへ安全な方法で接続してみると、驚いたことに 直にクレジットカード情報を入力する画面が開きました。 一般的にはこのようは大切な情報は、ログインした後ってことになるはずですが、この詐欺師は 急いでいるのかカード情報とユーザーIDとパスワードまで一気に吸い取ろうとしています。(汗)
まとめ今日は、少々忙しくなりそうなのでエントリーはこれ1本になりそうです。 これ以外にも「ファミマ T カード」に成りすましたフィッシング詐欺メールも届いていますが それは明日以降改めてご紹介いたします。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |