『詐欺メール』「【重要】auでお支払いしている継続利用サービスを更新する必要があります」と、来た件

auが中国ドメインでユーザーにメールを？！

最近「auかんたん決済」の名を騙るフィッシング詐欺が増えてきています。
今回も「auかんたん決済」に成りすました新たな刺客です。

では、メールのプロパティーから見ていきましょう。

件名は
「[spam] 【重要】auでお支払いしている継続利用サービスを更新する必要があります」
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「auかんたん決済 <aupay-notice7@uzbziwp.cn>」
毎度のくだりで申し訳ありませんが、自社ドメインが有るauがこのような中国のドメインを
使ったメールアドレスでこのような大切なメールをユーザーに送ると思いますか？
絶対に送りませんよね…(汗)

本日2度目の登場！(笑)

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

まず、メールアドレスに使われているドメイン”uzbziwp.cn”の情報を取得してみます。

この持ち主の方の氏名が出てくるのは本日2度目ですね。(笑)
日本人でこのお名前は見たことありませんし、ドメインの管理は中国のアリババに委託されて
いるので恐らくこの方はそちら方面の方でしょうね。

このドメインを割当てているIPアドレスは”143.92.44.110”と出ていて”Received”に書かれて
いるものと同じなので、差出人のメールアドレスの真偽は「真」と断定できます。

では、このIPアドレス”143.92.44.110”を使ってその割り当て地を確認してみます。

表示されたのは香港Sheung Wan付近。
この位置も目にするのは今日2度目です。(汗)
差出人はこの付近に設置されたメールサーバーからこのメールを送信したようです。

「auのお客 様」って宛名…

そして本文です。

だいたい「auのお客 様」なんて宛名で書きますかね？
auならユーザーの氏名知っているはずですからこのような書き方しないと思いますよ。
でも、焦っていると気が付かないかも知れませんね。

このようにユーザーを焦らせて押させるのが詐欺サイトへのリンクです。
そのリンクは「クリックを押して更新されます」と書かれている所に付けられており
リンク先のURLはこちら。

このサイトのきけんせいをノートンの「セーフウェブレポート」で確認してみましたが
「注意」と表示されているだけでまだあまり危険なサイトとしての認識はないようです。

このURLで使われているドメインは、サブドメインを含め”auonepay-jp.reosity.shop”
このドメインも情報を取得してみました。

この持ち主もうちのサイトでは古くからのご常連さん。
アメリカアリゾナ州フェニックスにある企業です。

このドメインを割当てているIPアドレスは”155.94.134.227”ですので、このIPアドレスを元に
その割り当て地を確認してみます。

この地図も本日2度目で、ロサンゼルス近郊のリトルトーキョーにほど近い場所。
ここにフィッシング詐欺サイトばかり扱うサーバーでもあるのでしょうか？(笑)

まとめ

リンク先サイトに安全は方法で接続してみましたが、やはりウイルスバスターに遮断される
ことなくすんなりと接続されましたので無防備でとても危険な状態です。

この差出人は、きっと文面や件名だけ変えて同じauの偽サイトへ誘導していると思われます。
ですからこれからもauを騙ったものは増えると思いますのでご用心ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;