Club J-WESTに成りすますこのところJRグループに成りすましたフィッシング詐欺メールが急増しています。
一番多いのがJR東日本が運営する「えきねっと」、そして次に多いのがJR西日本が運営する
この「Club J-WEST」を騙ったもの。 今回は、こちらのメールにスポットを当ててみたいと思います。
 ではまずメールのプロパティーから見ていきましょう。 件名は
「[spam] 【JR西日本:Club J-WEST】アカウントはチケットの購入を制限します」
「アカウントはチケットの購入を制限します」ってなんだか少しおかしな気がしませんか?
やはり今回もフィッシング詐欺メールも差出したのは日本語が得意でない方のようです。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「JR西日本 Club J-WEST事務局 <jr-confirm10@wprjife.cn>」
いつものくだりですが、初めての方もいらっしゃると思うので我慢してください。(笑)
Club J-WESTには”jr-odekake.net”って立派なドメインが有ります。
それなのになぜ”wprjife.cn”なんて中国のトップレベルドメインを使ったメールアドレスで
ユーザー宛に重要な内容のメールを送るのでしょうか?
余りにも馬鹿げていますよね?
発信元は香港か?!では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「<jr-confirm10@wprjife.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「<202203221157186445763@wprjife.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from wprjife.cn (unknown [143.92.44.205])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
まずは、このドメイン”wprjife.cn”の情報を取得してみます。
取得しているのは、漢字2文字の氏名の方で、ドメインの管理は中国のアリババに委託されて
いるようです。
そしてこのドメインを割当てているIPアドレスは”143.92.44.205”とあり”Received”のものと
同じなので、差出人のメールアドレスの真偽は本物だと分かります。
このIPアドレスを元にその割り当て地を確認してみます。
これによるとその割り当て地は香港のSheung Wan付近。
この差出人はこの付近にあるメールサーバーを利用したようです。
リンク偽装されています続いて本文。 | ****@******.***様 使用状況の確認に加え、利用者保護とクレジットカードまたはキャリア決済による
不正決済防止のため、アカウントのご利用を制限いたしました。 「 利用者保護とクレジットカードまたはキャリア決済による不正決済防止のため、
アカウントのご利用を制限いたしました。<Club J-WEST事務局からのご案内> アカウントにログインして制限を解除してください |
まず、宛名は私のメールアドレスとされています。
もちろん、Club J-WESTのユーザーIDがメールアドレスなのかも知れませんが、本物の
Club J-WESTなら当然こちらの氏名を知っているはずなので一般的に宛名は氏名になると
思います。 それに着色した行。
なぜやまびこのように同じフレーズを繰り返しているのでしょうか?
連呼すれば効果的だとでも思っているのでしょうか?
不可解で仕方ありません。(笑) このいい加減な本文で誘い込もうとするのは直書きされているリンク。
そのリンクは「https://www.jr-odekake.net/about/kiyaku/index.html」と書かれていますが
これはリンク偽装されています。
これをコピーしてそのままブラウザに貼り付けてみると「Club J-WEST 規約集」という
ページにリンクしますが、実はこのリンクを普通にクリックしてしまうと以下のURLへ
飛ばされます。
 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」やノートンの
「セーフウェブ」で確認してみましたが、どちらも未評価と表示されて危険性が認識されて
いませんでしたので無防備でとても危険です。
 このサイトのURLで使われているドメインはサブドメインを含め”jr-odekake.costose.shop”
このドメインも情報を取得してみました。
持ち主は、詐欺サイトのご常連でアメリカアリゾナ州フェニックスにある企業。 このドメインをドメインを割当てているIPアドレスは”155.94.145.159”
このIPアドレスを元にその割り当て地を確認してみます。
またここ…ロサンゼルス近郊のリトルトーキョーにほど近い場所が表示されました。
こちらのサイトでは、このIPアドレスは既に危険なアドレスとして認識されているようです。
まとめ安全な方法でリンクのサイトへ飛んでみましたが、やはりウイルスバスターにブロックされる
ことなくすんなりと開いてしまいました。
とても危険です!
絶対に接続しないでください。 とにかく、このところJRグループに成りすましたフィッシング詐欺メールが大量に流れて
いますのでくれぐれもご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
