auが中国ドメインでユーザーにメールを?!最近「auかんたん決済」の名を騙るフィッシング詐欺が増えてきています。 今回も「auかんたん決済」に成りすました新たな刺客です。
では、メールのプロパティーから見ていきましょう。 件名は 「[spam] 【重要】auでお支払いしている継続利用サービスを更新する必要があります」 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「auかんたん決済 <aupay-notice7@uzbziwp.cn>」 毎度のくだりで申し訳ありませんが、自社ドメインが有るauがこのような中国のドメインを 使ったメールアドレスでこのような大切なメールをユーザーに送ると思いますか? 絶対に送りませんよね…(汗)
本日2度目の登場!(笑)では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<aupay-notice7@uzbziwp.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<202203221545217840418@uzbziwp.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from uzbziwp.cn (unknown [143.92.44.110])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
まず、メールアドレスに使われているドメイン”uzbziwp.cn”の情報を取得してみます。 この持ち主の方の氏名が出てくるのは本日2度目ですね。(笑) 日本人でこのお名前は見たことありませんし、ドメインの管理は中国のアリババに委託されて いるので恐らくこの方はそちら方面の方でしょうね。 このドメインを割当てているIPアドレスは”143.92.44.110”と出ていて”Received”に書かれて いるものと同じなので、差出人のメールアドレスの真偽は「真」と断定できます。 では、このIPアドレス”143.92.44.110”を使ってその割り当て地を確認してみます。 表示されたのは香港Sheung Wan付近。 この位置も目にするのは今日2度目です。(汗) 差出人はこの付近に設置されたメールサーバーからこのメールを送信したようです。
「auのお客 様」って宛名…そして本文です。 auのお客 様 いつもauをご利用いただき誠にありがとうございます。 お客様のご利用料金のお支払い確認が取れておりません。 このまま3日経過すればお客様のアカウントロックがされるので、auのアカウントの 支払い方法を更新して、アカウントが正常に使用されるようにする必要があります。 ▼お支払い方法を更新してください クリックを押して更新されます |
だいたい「auのお客 様」なんて宛名で書きますかね? auならユーザーの氏名知っているはずですからこのような書き方しないと思いますよ。 でも、焦っていると気が付かないかも知れませんね。 このようにユーザーを焦らせて押させるのが詐欺サイトへのリンクです。 そのリンクは「クリックを押して更新されます」と書かれている所に付けられており リンク先のURLはこちら。 このサイトのきけんせいをノートンの「セーフウェブレポート」で確認してみましたが 「注意」と表示されているだけでまだあまり危険なサイトとしての認識はないようです。 このURLで使われているドメインは、サブドメインを含め”auonepay-jp.reosity.shop” このドメインも情報を取得してみました。 この持ち主もうちのサイトでは古くからのご常連さん。 アメリカアリゾナ州フェニックスにある企業です。 このドメインを割当てているIPアドレスは”155.94.134.227”ですので、このIPアドレスを元に その割り当て地を確認してみます。 この地図も本日2度目で、ロサンゼルス近郊のリトルトーキョーにほど近い場所。 ここにフィッシング詐欺サイトばかり扱うサーバーでもあるのでしょうか?(笑)
まとめリンク先サイトに安全は方法で接続してみましたが、やはりウイルスバスターに遮断される ことなくすんなりと接続されましたので無防備でとても危険な状態です。 この差出人は、きっと文面や件名だけ変えて同じauの偽サイトへ誘導していると思われます。 ですからこれからもauを騙ったものは増えると思いますのでご用心ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |