数字もアルファベットも全角 「ETC利用照会サービス」を騙ったフィッシング詐欺メールも多いものです。
今朝は、そのETC利用照会サービスに成りすましたちょっと不可解なメールをご紹介
しようと思います。
そのメールがこちら。
数字もアルファベットも全角で書かれていますよね。
これ、フィッシング詐欺メールの特徴です。 まずは、メールのプロパティーから見ていきます。 件名は
「[spam] 重要なお知らせシステム停止の重要情報(ETC利用照会サービス)」
「重要」が2つ使われたどことなく日本語のおかしな気がしませんか?
それに”ETC”とアルファベットが全角なのは、フィッシング詐欺メールの1つの特徴です。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「etc-meisai.jp <ml.etc-meisai.jp-info@xkihxym.cn>」
ETC利用照会サービスさんの正規ドメインは”etc-meisai.jp”で間違っても”xkihxym.cn”
ではありません。
悪意のあるメールかどうかの判断は、まず差出の名前に惑わされずアドレスのドメインに
目を付けてください。
2つ以上のドメインが割当てられているIP では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「<ml.etc-meisai.jp-info@xkihxym.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「<20220320113109522767@xkihxym.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from xkihxym.cn (ae0am8.shop [117.50.179.73])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | まず差出人のメールアドレスにあるドメイン”xkihxym.cn”について調べてみました。
割当てているIPアドレスは”117.50.179.73”のようです。 それと、ちょっと気になるんですが”Received”には”ae0am8.shop”なんてドメインも
見えています。
このドメインについても調べてみました。
このドメインも割当てているIPアドレスは”117.50.179.73”で”xkihxym.cn”と同じですね。
と言うことは、このIPアドレスには2つ以上のドメインが割当てられていることになり
複数のドメインを使い分けて詐欺をはたらいているのかもしれませんね。 では、この”117.50.179.73”ってIPアドレスを使ってそのサーバーの情報を拾ってみます。
表示されたのは北京にある天安門広場の東側辺りの地図。
このIPアドレスは、危険な物として知られているようで脅威のレベルは「高」とされ
攻撃の対象は「Web」と「SSH」と書かれています。
どうやらこのメールは、この付近に設置されたメールサーバーを使って送られたようです。
詐欺メールに矛盾など関係無い いよいよ本文。 本文はこのように書かれています。 平素よりETC利用照会サービスをご利用いただき、誠にありがとうございます。
本サービスはサーバーメンテナンスのため、次のとおりシステムを停止させていただきます。
システム停止期間中はすべてのサービスがご利用できません。
ご迷惑をおかけしますが、ご理解とご協力をお願いいたします。
[利用停止期間] 2022年4月1日(金)0時 ~ 8時頃(予定)
[利用を停止するサービス] インターネットでご提供しているすべてのサービス
(ETC利用証明書発行、ETC利用証明書明細確認) 引き続きサービスをご利用いただきたい場合は、下記リンクより詳細をご確認ください。 | このメールは、4月1日のサービス停止予告通知だと思いますが、「引き続きサービスをご利用
いただきたい場合は、下記リンクより詳細をご確認ください。」と書かれています。
サービス停止予告通知なのに「引き続きサービスをご利用いただきたい場合」ってのは
なんか内容に矛盾があると思うのですが… ま、詐欺メールに矛盾など関係無いのです。
だってこのメールの目的は、その下「→ご変更はこちらから」って部分に付けられたリンクを
押させることなのですから。
で、そのリンク先のURLがこちらです。
 まずはこのサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認
してみます。
やはり既に危険なサイトと認識されており、そのカテゴリも詐欺サイトとされています。 このURLに使われているドメインは、サブドメインを含めて”www.etc-meilasi.cadhpng.cn”
このドメインインついても情報を取得してみます。
またもや読めない漢字の氏名の方です。 割当てているIPアドレスは”155.94.169.42”。
このIPアドレスの割り当て地を調べてみます。
表示された地図は、詐欺サイト密集地域のロサンゼルス付近。
やはりこのIPアドレスも脅威のレベルは「高」でカテゴリは「Webによるサイバーアタック」と
されています。
まとめ リンク先に接続してみましたが、サイトにはつながりませんでした。
目的を達成したのか、それとも当局に嗅ぎつかれて閉鎖したのか。
いぞれにしても、IPアドレスにドメインが割当てられているということは、いつでも再開
できる状態ですから油断は禁物。
ETC利用照会サービスを騙ったフィッシング詐欺メールは、一旦落ち着いたと思いましたが
またここにきて息を吹き返した感があります。
皆様、くれぐれもご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
【実録】「2年越しの毒電波を克服」魔改造B-CASカード販売メールの正体——6/17新KW対応版と称しYandex経由で届く違法勧誘の全手口を公開 
【閲覧注意】ローソンで使える5,000円分クーポンを騙る詐欺メール——AmazonとローソンのW偽装でフィルターをすり抜ける手口 
【注意喚起】経済産業省・資源エネルギー庁「電気・ガス補助金失効通知」は詐欺!SPF認証失敗の不正メールがVポイント詐欺と同じ誘導先を使用 
【緊急・実録】MyJCBを騙る偽「3Dセキュア再認証」詐欺メール発覚——SPF/DKIM両Pass偽装でフィルター突破、精巧な偽ログイン画面の全手口を解説 
【実録】総務省統計局を騙るアプリダウンロードキャンペーン詐欺メールの手口を公開!