不正アクセスによる個人情報流出なんておどろおどろしい件名のメールが三井住友カードから 届きました。 もちろんフィッシング詐欺メールですけどね。  件名は 「[spam] 【三井住友】不正アクセスによる個人情報流出に関する対応について」 おどろおどろしく書こうがこの件名には”[spam]”とスタンプが付けられているので迷惑メール。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”三井住友カード” <sxg@www.smbc-card.com>」 毎度の事ですが、確かに”smbc-card.com”は、三井住友カードさんの正規ドメイン。 でも、件名の”[spam]”を見せられた後じゃね…(笑) では、次の項でその偽者ぶりを暴いていきましょう!
差出したのは詐欺メールのご常連さんでは、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<sxg@www.smbc-card.com>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<291F4D88B72DCEB2EE8274917FECD2AD@www.smbc-card.com>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from www.smbc-card.com (v160-251-112-146.olpp.static.cnode.io [160.251.112.146])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 ”static.cnode.io”ってドメイン見えていますが、このドメインの方は詐欺メールの ご常連さんです。 |
まず”www.smbc-card.com”を割当てているIPアドレスを抽出して”Received”に書かれている IPアドレスと比較しこのメールアドレスの真偽を確かめてみます。  これによると、”www.smbc-card.com”を割当てているIPアドレスは”104.119.230.88”で ”Received”に記載のある”160.251.112.146”と全く異なるのでメールアドレスの偽装は 明らかです。 では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。   この差出人の利用したプロバイダーは「INTERQ」と言うGMO系です。 このIPアドレスの脅威レベルは「高」で、そのカテゴリはメールによるサイバーアタックと されています。
詐欺サイトはロスのリトルトーキョー付近さて、それで笑っていただきましょう!  なんですか、この歯切れの悪い日本語は。 途中で書くの止めるなよ!(笑) これじゃ意味が通じないでしょ! 「メタップスペイメント」とは、カード決済の代行企業。 どうやら本当に「個人情報の流出事件」があったようです。 このメールは、それを知っててそこに付け込んだ悪質なもの。 このメールに付けられた詐欺サイトヘのリンクはこちらのURLです。  このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみると。 既に危険なサイトとしてデーターベース登録されていました。 カテゴリはやはり「フィッシング」です。  このようなサイトには絶対に近づかないでください。 このURLで使われているドメインは、サブドメインを含め”www.snbo-cord.81opo.com” このドメインについても情報を取得してみます。  殆どがプライバシー保護されていて大した情報の取得はできませんでした。 このドメインをドメインを割当てているIPアドレスは”155.94.146.165” このIPアドレスを元にその割り当て地を確認してみます。  またしてもロサンゼルス近郊のリトルトーキョーにほど近い場所です。 ほんとこの場所に詐欺サイトは集中していますね。 安全な方法で接続してみると、三井住友カードのユーザーサイトVpassの偽のページが 表示されました。  丸ごとコピーされているので本家と見分けが付きません(汗)
まとめこのように何かに付けて本当にあった事件や事象などに付け込んだ悪質なフィッシング詐欺が 後を絶ちませんね。 お気を付けください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |