「auPAY」の成りすまし週明けは大量のフィッシング詐欺メールに手を焼くのは毎週の事ですが、連休明けとなると これまた量が尋常じゃありません。 今回は、その中から新種のものをチョイスしてご紹介したいと思います。 気持ちの悪い中華フォントが使われたそのメールがこちら。 auの名を借りたフィッシング詐欺メールも昨今は非常に多くなり、「auかんたん決済」に 成りすましたものが多く出回っていますが、今回は「auPAY」に成りすましたものです。 では、メールのプロパティーから見ていきましょう。 件名は 「[spam] auPAYカードお 客様情報の確認」 よく見るとなぜだか”お”と”客”の間に半角スペースがある不思議な件名です。 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「au <auone-confirm@insecua.cn>」 嫌と言うほど書いてきたくだりですが、なぜ自社ドメインを持つauがそれ以外のドメインを 使ったメールアドレスで、大切な内容の書かれたメールをユーザーに送るのでしょうか? それも中国のトップレベルドメインを使ったもので…あり得ませんよね!(;^_^A こういうところに目を付けていれば詐欺メールのほとんどが見分けられると思います。
ドメインはご常連の持ち物だったでは、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<auone-confirm@insecua.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20220322052750688567@insecua.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from insecua.cn (unknown [134.122.151.157])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、この”insecua.cn”についてその情報を拾ってみます。 それにしてもこの持ち主の氏名よく見かけますね。 このドメインをドメインを割当てているIPアドレスは”134.122.151.157”なので”Received”の ものと合致していますから、この差出人のメールアドレスは正しいことになります。 ではこのIPアドレスを元にその割り当て地を確認してみます。 この地図もよく見かける場所ですね、東京都千代田区九段付近と出ています。 この場所は、このメールの差出人が利用したメールサーバーの位置を示します。
詐欺サイトは無防備のまま野放しに放置続いて本文。 auPAYカード「お客様情報の確認」 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ いつも弊社カードをご利用いただきありがとうございます。昨今の第三者不正利用の急増に伴い、弊社では「不正利用監視システム」を導入し、 24時間365日体制でカードのご利用に対するモニタリングを行っております。つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。 ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、 予めご了承下さい。 |
と言っても、「「不正利用監視システム」を導入し」ってくだりはこれらの調査ではかなり 見慣れたもの。 このメールの目的は、「auPAY ログイン」と書かれた部分に付けられたリンクを押させて フィッシング詐欺サイトへ誘導すること。 そのリンク先のURLはこちら。 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認するも 未評価でまだ脅威の危険性は認識されていませんし、ノートンの「セーフウェブ」でも 同様の結果でしたので要注意です。 このサイトのURLで使われているドメインは、サブドメインを含め”jp.au.kdda.tirqzm.cn” このドメインもメールアドレスと同様に情報を拾ってみました。 当たり前と言えば当たり前かもしれませんが、このドメインもメールのドメインと同じ持ち主。 割当てているIPアドレスは”155.94.169.195”なので、このIPアドレスを元にその割り当て地を 確認してみます。 表示されたのは、ロサンゼルス近郊のリトルトーキョーにほど近い場所。 ここも詐欺サイトの調査ではしょっちゅう出てくるところです。
まとめサイトへ訪れてみましたが、ウイルスバスターに遮断もされず無防備のまま表示されとても 危険な状態で野放しにされています。 このようなサイトへは絶対に近づかないでください。 こうやってブログエントリーを書いている最中にも詐欺メールが続々と届いています。 サイトの性格上、皆さんにできるだけ早くお届けしたい情報ですが、仕事との両立もあり なかなかそれも…(汗) できる限り時間を作って早めに情報を提供いたしますのでよろしくお願いいたします。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |