『詐欺メール』「auPAYカードお 客様情報の確認」と、来た件

「auPAY」の成りすまし

週明けは大量のフィッシング詐欺メールに手を焼くのは毎週の事ですが、連休明けとなると
これまた量が尋常じゃありません。
今回は、その中から新種のものをチョイスしてご紹介したいと思います。
気持ちの悪い中華フォントが使われたそのメールがこちら。

auの名を借りたフィッシング詐欺メールも昨今は非常に多くなり、「auかんたん決済」に
成りすましたものが多く出回っていますが、今回は「auPAY」に成りすましたものです。

では、メールのプロパティーから見ていきましょう。

件名は
「[spam] auPAYカードお 客様情報の確認」
よく見るとなぜだか”お”と”客”の間に半角スペースがある不思議な件名です。

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「au <auone-confirm@insecua.cn>」
嫌と言うほど書いてきたくだりですが、なぜ自社ドメインを持つauがそれ以外のドメインを
使ったメールアドレスで、大切な内容の書かれたメールをユーザーに送るのでしょうか？
それも中国のトップレベルドメインを使ったもので…あり得ませんよね！(;^_^A
こういうところに目を付けていれば詐欺メールのほとんどが見分けられると思います。

ドメインはご常連の持ち物だった

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、この”insecua.cn”についてその情報を拾ってみます。

それにしてもこの持ち主の氏名よく見かけますね。
このドメインをドメインを割当てているIPアドレスは”134.122.151.157”なので”Received”の
ものと合致していますから、この差出人のメールアドレスは正しいことになります。

ではこのIPアドレスを元にその割り当て地を確認してみます。

この地図もよく見かける場所ですね、東京都千代田区九段付近と出ています。
この場所は、このメールの差出人が利用したメールサーバーの位置を示します。

詐欺サイトは無防備のまま野放しに放置

続いて本文。

と言っても、「「不正利用監視システム」を導入し」ってくだりはこれらの調査ではかなり
見慣れたもの。

このメールの目的は、「auPAY ログイン」と書かれた部分に付けられたリンクを押させて
フィッシング詐欺サイトへ誘導すること。
そのリンク先のURLはこちら。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認するも
未評価でまだ脅威の危険性は認識されていませんし、ノートンの「セーフウェブ」でも
同様の結果でしたので要注意です。

このサイトのURLで使われているドメインは、サブドメインを含め”jp.au.kdda.tirqzm.cn”

このドメインもメールアドレスと同様に情報を拾ってみました。

当たり前と言えば当たり前かもしれませんが、このドメインもメールのドメインと同じ持ち主。
割当てているIPアドレスは”155.94.169.195”なので、このIPアドレスを元にその割り当て地を
確認してみます。

表示されたのは、ロサンゼルス近郊のリトルトーキョーにほど近い場所。
ここも詐欺サイトの調査ではしょっちゅう出てくるところです。

まとめ

サイトへ訪れてみましたが、ウイルスバスターに遮断もされず無防備のまま表示されとても
危険な状態で野放しにされています。

このようなサイトへは絶対に近づかないでください。

こうやってブログエントリーを書いている最中にも詐欺メールが続々と届いています。
サイトの性格上、皆さんにできるだけ早くお届けしたい情報ですが、仕事との両立もあり
なかなかそれも…(汗)
できる限り時間を作って早めに情報を提供いたしますのでよろしくお願いいたします。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;