桜が咲けども詐欺は減らず日本の春と言えば「桜」ですよね! そう、3月下旬となると桜の開花も気になるところですが、ご当地の名古屋では平年より 3日早く昨日の3月22日に開花宣言されました。 そんなほのぼのとした話題もありますが、相変わらず私のところには今朝も大量の フィッシング詐欺メールが到着しています。 今朝ご紹介するのは、最近多く見られるauに成りすましたもの。 そのメールがこちらです。 auの名を騙り、第三者不正利用をネタにリンクに誘い込むフィッシング詐欺メールです。 では、いつものようにメールのプロパティーから見ていきましょう。 件名は 「[spam] 【重要】auかんたん決済のご利用確認のお願い。メール番号:M259」 メール番号は、信憑性を持たせるために付けられた連番ですが、なにを書こうとも この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「” auかんたん決済” <hifn@service.rqgdf.cn>」 いつもの事ですが、自社ドメインを持つIT企業のauがわざわざ中国のトップレベルドメインを 使ったメールアドレスでユーザーにこのような大切な通知のメールを送ると思いますか? 絶対にありませんよね! では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<hifn@service.rqgdf.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20220322174230822513@service.rqgdf.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from service.rqgdf.cn (service.rqgdf.cn [192.210.226.133])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
まず、メールアドレスに使われていたこのドメイン”service.rqgdf.cn”の情報を取得します。 このドメインをドメインを割当てているIPアドレスは”192.210.226.133”で”Received”に 記載されているものと同じなので、差出人のメールアドレスは偽装されていません。 このIPアドレスを元にその割り当て地を確認してみます。 表示されたのは、アメリカのバッファロー付近の地図。 この付近に設置されたメールサーバーからこのメールを送っているようです。 このIPアドレスは、既に危険なものとして周知されているようで、脅威レベルは「高」で そのカテゴリはメールによるサイバーアタックと書かれています。
宛名がメールアカウントの場合は注意では、本文を見ていきます。 宛名は受信したメールアドレスの@より前のアカウント部分を抜き出したもの。 本当のauならユーザーの氏名がデーターベースに保存されているはずですから宛名を書くと すればその氏名を記載するはずです。 このメールは、受信者を不安に陥らせた上でリンクから詐欺サイトへ誘導するのが目的です。 そのリンクは「アカウントのご利用確認のお知らせについてはこちら」って書かれた部分に 付けられています。 そのリンク先のURLはこちら。 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認すると 危険との評価で、そのカテゴリは「フィッシング」とされていました。 このサイトで使われているドメインは、サブドメインを含めて ”solitary-cloud-71c1.bedog23695868.workers.dev” このドメインも情報を取得してみましたが、以下のようにほとんどの情報がマスクされて いました。 このドメインを割当てているIPアドレスは”104.21.11.22”なのでこのIPアドレスを元に その割り当て地を確認してみます。 サンフランシスコ付近の地図が表示されています。 この地で開設されているauに成りすましたフィッシング詐欺サイトへ安全な方法でつないで みました。 すると、画面が一瞬切り替わり別のこのようなURLのサイトにリダイレクトされました。 こちらのサイトも「サイトセーフティーセンター」では先程と同様の結果は表示されました。 同様にドメイン”auonepay-jp.mbvhyu.shop”も情報を取得してみます。 今度はそれなりの情報が取得できましたが、ドメインの持ち主は、うちのサイトではご常連さん アメリカアリゾナ州フェニックスにある企業でした。 このドメインを割当てているIPアドレスは”204.44.98.99” このIPアドレスを元にその割り当て地を確認してみます。 おなじみの地図、ロサンゼルス近郊のリトルトーキョーにほど近い場所です。 本当に詐欺サイトはこの地に集中しているので危険地帯と呼んで良さそうです。
まとめサイトは、例によってauのコピーサイトでした。 詐欺サイトですので絶対にログインしないでください。 それにしても急に増えてきましたねauに成りすましたフィッシング詐欺メール。 そのうち別のキャリアにも成りすましたメールも出てくるんでしょうね。 気を付けましょう。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |