『詐欺メール』「重要なお知らせシステム停止の重要情報(ＥＴＣ利用照会サービス)」と、来た件

heart

3年前

ETC利用照会サービスを騙るものは相変わらず多い

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

数字もアルファベットも全角

「ETC利用照会サービス」を騙ったフィッシング詐欺メールも多いものです。
今朝は、そのETC利用照会サービスに成りすましたちょっと不可解なメールをご紹介
しようと思います。
そのメールがこちら。

数字もアルファベットも全角で書かれていますよね。
これ、フィッシング詐欺メールの特徴です。

まずは、メールのプロパティーから見ていきます。

件名は
「[spam] 重要なお知らせシステム停止の重要情報(ＥＴＣ利用照会サービス)」
「重要」が2つ使われたどことなく日本語のおかしな気がしませんか？
それに”ETC”とアルファベットが全角なのは、フィッシング詐欺メールの1つの特徴です。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「etc-meisai.jp <ml.etc-meisai.jp-info@xkihxym.cn>」
ETC利用照会サービスさんの正規ドメインは”etc-meisai.jp”で間違っても”xkihxym.cn”
ではありません。
悪意のあるメールかどうかの判断は、まず差出の名前に惑わされずアドレスのドメインに
目を付けてください。

2つ以上のドメインが割当てられているIP

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<ml.etc-meisai.jp-info@xkihxym.cn>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<20220320113109522767@xkihxym.cn>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from xkihxym.cn (ae0am8.shop [117.50.179.73])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

まず差出人のメールアドレスにあるドメイン”xkihxym.cn”について調べてみました。

割当てているIPアドレスは”117.50.179.73”のようです。

それと、ちょっと気になるんですが”Received”には”ae0am8.shop”なんてドメインも
見えています。
このドメインについても調べてみました。

このドメインも割当てているIPアドレスは”117.50.179.73”で”xkihxym.cn”と同じですね。
と言うことは、このIPアドレスには2つ以上のドメインが割当てられていることになり
複数のドメインを使い分けて詐欺をはたらいているのかもしれませんね。

では、この”117.50.179.73”ってIPアドレスを使ってそのサーバーの情報を拾ってみます。

表示されたのは北京にある天安門広場の東側辺りの地図。
このIPアドレスは、危険な物として知られているようで脅威のレベルは「高」とされ
攻撃の対象は「Web」と「SSH」と書かれています。
どうやらこのメールは、この付近に設置されたメールサーバーを使って送られたようです。

詐欺メールに矛盾など関係無い

いよいよ本文。

本文はこのように書かれています。

平素よりＥＴＣ利用照会サービスをご利用いただき、誠にありがとうございます。
本サービスはサーバーメンテナンスのため、次のとおりシステムを停止させていただきます。
システム停止期間中はすべてのサービスがご利用できません。
ご迷惑をおかけしますが、ご理解とご協力をお願いいたします。
[利用停止期間]

２０２２年４月１日（金）０時　～　８時頃（予定）
[利用を停止するサービス]

インターネットでご提供しているすべてのサービス
（ＥＴＣ利用証明書発行、ＥＴＣ利用証明書明細確認）

引き続きサービスをご利用いただきたい場合は、下記リンクより詳細をご確認ください。

このメールは、4月1日のサービス停止予告通知だと思いますが、「引き続きサービスをご利用
いただきたい場合は、下記リンクより詳細をご確認ください。」と書かれています。
サービス停止予告通知なのに「引き続きサービスをご利用いただきたい場合」ってのは
なんか内容に矛盾があると思うのですが…

ま、詐欺メールに矛盾など関係無いのです。
だってこのメールの目的は、その下「→ご変更はこちらから」って部分に付けられたリンクを
押させることなのですから。
で、そのリンク先のURLがこちらです。

まずはこのサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認
してみます。

やはり既に危険なサイトと認識されており、そのカテゴリも詐欺サイトとされています。

このURLに使われているドメインは、サブドメインを含めて”www.etc-meilasi.cadhpng.cn”
このドメインインついても情報を取得してみます。

またもや読めない漢字の氏名の方です。

割当てているIPアドレスは”155.94.169.42”。
このIPアドレスの割り当て地を調べてみます。

表示された地図は、詐欺サイト密集地域のロサンゼルス付近。
やはりこのIPアドレスも脅威のレベルは「高」でカテゴリは「Webによるサイバーアタック」と
されています。

まとめ

リンク先に接続してみましたが、サイトにはつながりませんでした。

目的を達成したのか、それとも当局に嗅ぎつかれて閉鎖したのか。
いぞれにしても、IPアドレスにドメインが割当てられているということは、いつでも再開
できる状態ですから油断は禁物。
ETC利用照会サービスを騙ったフィッシング詐欺メールは、一旦落ち着いたと思いましたが
またここにきて息を吹き返した感があります。
皆様、くれぐれもご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)