えきねっとサポートセンターを騙る相変わらずJR東日本のインターネットサービス「えきねっと」を騙ったフィッシング 詐欺メールが大量発生中ですね。 きっとたくさんの方々のところへも届いていることと思います。 今朝は、クレジットカード会社を騙ったものと同じように第三者不正利用をネタに 詐欺サイトへ誘導するフィッシング詐欺メールが届いておりますのでご紹介させて いただきます。 このとこと「不正利用監視システム」って言葉が詐欺メール界ではトレンドです。 この言葉を見たら詐欺メール間違いなしです。(笑) では、プロパティーから見ていきましょう。 件名は 「[spam] 【重要なお知らせ】えきねっとアカウントのからの緊急の連絡、情報を更新してください。メール番号:M6187698」 例によってメール番号は、このメールに信憑性を持たせるためのもので適当な連番。 何を書き足そうがこの件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”えきねっとサポートセンター” <kzcvdw@service.eicpss.cn>」 「えきねっと」さんは”eki-net.com”とちゃんとしたドメインをお持ちです。 そんな巨大企業がわざわざ中国のトップレベルドメインを使ったメールアドレスで このような重要なメールをユーザーに配信するわけがりません。
差出人は1つ前のエントリーと同じ人物?!では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<kzcvdw@service.eicpss.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20220323042725582674@service.eicpss.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from service.eicpss.cn (service.eicpss.cn [192.210.132.117])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
まずこのメールアドレスの真偽をドメイン”service.eicpss.cn”を使って調べます。 このドメインを割当てているIPアドレスは”192.210.132.117”で”Received”のものと同じ。 なのでこのメールアドレスの真偽は「真」です。 このドメインの持ち主って、どこかで見たことがあると思ったら1つ前のブログエントリーと おなじ人物でした。 ご興味があればこちらの1個前のブログもどうぞ~ 『詐欺メール』「【重要】auかんたん決済のご利用確認のお願い。」と、来た件
次に、この”Received”にあったIPアドレス”192.210.132.117”の所在を確認しました。 ニューヨーク州のバッファロー付近の地図。 これまた1つ前のブログエントリーと同じです。 この地から複数のフィッシング詐欺メールを配信しているようですね。
早めの対応をお願いします!次に本文です。 宛名がメールアドレスのアカウント部分になっています。 これも1つ前のブログエントリーと共通していますね。 「ログインはこちら」と書かれている部分には、フィッシング詐欺サイトへのリンクが 付けられています。 そのリンク先のURLはこちら。 でも、このリンク先に詐欺サイトはありません。 実際にはリダイレクトと呼ばれる手法で別のサイトに飛ばされます。 それも1つ前のブログエントリーと共通。 そのリダイレクト先のURLはこちら。 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で調べてもらうと このように未評価のサイトとして表示されました。 「今後、弊社で評価を行います」との事なので、迅速に評価していただきたいと思います。 使われているドメインは、サブドメインを含め”singin1.eki-net.awqjvcx.cn” 1つ前のブログエントリーではご常連のアメリカアリゾナ州フェニックスにある企業が その持ち主でしたが、今度はどうでしょうか? 今回は違いましたね。 持ち主は、私では読めない文字を含む漢字3文字の氏名の方で、ドメインの管理は中国の アリババに委託されているようなので、どこの国の方かはおおよそ想像が付くと思います。 このドメインを割当てているIPアドレスは”204.44.82.154” きっと割り当て地はロサンゼルス近郊のリトルトーキョーにほど近い場所のはず! 調べてみると…やはり! 本当にこの地域にはフィッシング詐欺サイトがたくさんありますね。(;^_^A 安全な方法でサイトに接続してみるとウイルスバスターに遮断されることなく無防備に 「えきねっと」のコピーサイトに接続されました。 このままではとても危険です! セキュリティー業界には早めの対策をお願いしたいものです。
まとめ件名と本文だけでメールを判断しないでください。 まず、真っ先に差出人のメールアドレスを確認しましょう。 そこで約半分のフィッシング詐欺メールは判断できます。 そして、安易にリンクを押さず押す前にリンク先のURLが本家のものであるかどうか 確認します。 ここでほぼ100%の詐欺メールが判断できるでしょう。 こうやって解説を書いている最中にも手元には2通、3通とひっきりなしに詐欺メールが 到着しています。 おかしなメールがマジで多いのでお気を付けてお過ごしください。 つものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |