件名と本文の内容は激しく乖離やはり、ETC利用照会サービスさんを騙ったフィッシング詐欺メールが息を吹き返した 要です。 これは今朝届いていたETC利用照会サービスさんの名を騙ったフィッシング詐欺メールです。 件名は異なるものの内容は昨日ご紹介したこちらのブログエントリーと全く同じ。 『詐欺メール』「重要なお知らせシステム停止の重要情報(ETC利用照会サービス)」と、来た件
今回の件名は 「[spam] ETCの2回目の違反があります 時間内に対処してください(ETC利用照会サービス)」 ETCの違反ってなんでしょうね? どうすると違反が発生するのでしょうか? 教えてほしいものです。(笑) それにしても件名と本文の内容がこれほど乖離しているものも珍しいですね(;^_^A 件名を何と書こうが”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「ETC利用照会サービス事務局 <noreply@etc-meisai.jp>」 昨日のものが「etc-meisai.jp <ml.etc-meisai.jp-info@xkihxym.cn>」なんて中国のドメイン でしたが、今回は本物と同じ”etc-meisai.jp”と、しっかり修正してきていますね。(笑) この”etc-meisai.jp”はETC利用照会サービスさんの正規ドメインですが、こんなのは嘘っぱち その辺りも含め次項で検証していきます。
メールアドレスは偽装ですでは、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<noreply@etc-meisai.jp>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20220321213920358443@etc-meisai.jp>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from noreply0.etc-meisai.jp (os3-302-40605.vs.sakura.ne.jp [49.212.192.109])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
”Received”に”sakura.ne.jp”とあるので、どうやら差出人は例のご常連さんである さくらインターネットユーザーのようですね。 まずは、ETC利用照会サービスさんの正規ドメイン”etc-meisai.jp”を割当てている IPアドレスを確認してみます。 確認したIPアドレスが”Received”にあるIPアドレスと同じなら、このメールは ETC利用照会サービスさんのサーバーから送られてきたことになりますが、 果たしてどうなるでしょうか? これが”etc-meisai.jp”を割当てているIPアドレス。 ”153.120.80.184”と記載されていますよね。 ”Received”にあるIPアドレス”49.212.192.10”と全く異なります。 なので、この差出人のメールアドレスは真っ黒なウソです! そして、差出人はくらインターネットユーザーなのでIPアドレスの現在の所在地は、 さくらインターネット本社のある大阪市北区。
詐欺サイトは未評価で危険です本文ですが、「昨日のエントリー」で詳しく解説していますので必要でしたらそちらをごらん いただきたく思います。 このメールの目的は、受信者を不安に追い込んで詐欺サイトへのリンクを押させること。 そのリンクは「→ご変更はこちらから」と書かれている部分に付けられています。 そのリンク先のURLはこちら。 このサイトの危険性はトレンドマイクロの「サイトセーフティーセンター」では未評価で 危険なサイトとしては認識されていませんので要注意です。 このURLで使われているドメインは”www2.smeiling-etc.jplogin.ntxr9o18.cn” このドメインの詳細を調べるとこんな結果が。 このドメインをドメインを割当てているIPアドレスは”107.150.4.228” このIPアドレスを元にその割り当て地を確認してみます。 その地はロサンゼルス近郊のリトルトーキョーにほど近い場所。 このサイト、既に危険なIPアドレスとして知られていると評価されていますね。 安全な方法で詐欺サイトに潜入してみました。 完全にコピーされた偽サイトです。 絶対にログインしないでください。
まとめETCから連想されるのはやはり高速道路。 高速道路と違反となると「えっ」となるとでも思っているのでしょうか? だいたいどれほどの人がETC利用照会サービスさんを利用しているか考えれば この詐欺メールがどれほど無効なものか分かりそうなものですが… いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |