「自動退会処理」ってフレーズで思い出すのは?アマゾン、三井住友、VISA、ヨドバシ…今朝も大量に届いているフィッシング詐欺メールの 一覧の中に「出前館」と、初お目見えの文字が。 どうやらここも標的にされてしまったようです。 では、このメールもプロパティーから見ていきましょう。 件名は 「[spam] 【重要】「出前館 アカウントの自動退会処理について」 あれれ? この「自動退会処理」ってフレーズ見たことある方も多いのではないでしょうか。 そう、「えきねっと」です。 少し前に「このようなブログエントリー」書いていますが、この時の内容と酷似しています。 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”Demaecan” <notice@demae-can.com>」 毎度同じくだりで申し訳ありませんが、初めての方もいらっしゃると思うので我慢して お読みください。 ”demae-can.com”は確かに「出前館」さんの正規ドメインですが、件名には”[spam]”が 示す通りこのメールは詐欺メールですから間違いなく偽装されています。 その辺りを含め、次項で解説していきます。
偽装がバレバレでは、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<mail@ltfhkcj.cn>」 ほらね、もう化けの皮がはがれてしまいました。(笑) ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、全く違うドメインの メールアドレスが書かれているので偽装確定です! | Message-ID:「<20220324062911384528@ltfhkcj.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from ltfhkcj.cn (ltfhkcj.cn [113.31.113.176])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
まずは”Return-Path”にあったメールアドレスのドメイン”ltfhkcj.cn”についての情報を 取得してみましょう。 このドメインを割当てているIPアドレスは”Received”に記載のものと同じですから 差出人のメールアドレスのドメインに間違いありません。 このドメインの持ち主は、私のは読めない字を含む漢字2文字の氏名の方で、このドメインの 管理は中国企業のアリババに委託されていますので、これらを考慮すれば差出人はどこの方か だいたい想像つきますよね?(笑) では、この”Received”にあったIPアドレス”113.31.113.176”を使ってメールサーバーの位置 情報を拾ってみます。 ピンが立てられた場所は、中国の北京市内でちょうど天安門広場の東辺り。 IPアドレスからの位置情報なので相当アバウトですが… だいたいこの辺りからこのメールは発信されたようです。
これは「えきねっと」同一犯の可能性大!次に「えきねっと」の詐欺メールと酷似している本文を見ていきます。 上が今回の「出前館」に成りすましたもので、下段が以前ご紹介した「えきねっと」に 成りすました詐欺メールの本文。 今回の詐欺メール | 日頃より「出前館」をご利用いただきありがとうございます。 「出前館」は 2022 年 3 月 20 日(日)にサービスをリニューアルいたしました。 これ に伴い、「出前館」利用規約・会員規約を変更し、最後にログインをした日より 起算して1年以上「出前館」のご利用(ログイン)が確認できない「出前館」アカウントは、 自動的に退会処理させていただくことといたしました。 なお、対象アカウントの自動退 会処理を、本規約に基づき、2022 年 3月 20 日(月)より 順次、実施させていただきます。 2か月以上ログインしていないお客さまで、今後も「出前館」をご利用いただける場合は、 よりも前に、一度ログイン操作をお願いいたします。 | 「えきねっと」の詐欺メール | 日頃より「えきねっと」をご利用いただきありがとうございます。 「えきねっと」は 2022 年 3 月08 日にサービスをリニューアルいたしました。 これ に伴い、「えきねっと」利用規約・会員規約を変更し、最後にログインをした日より 起算し て2年以上「えきねっと」のご利用(ログイン)が確認できない「えきねっと」 アカウント は、自動的に退会処理させていただくことといたしました。 なお、対象アカウントの自動退 会処理を、本規約に基づき、2022 年 3 月 22 日より 順次、実施させていただきます。 2年以上ログインしていないお客さまで、今後も「えきねっと」をご利用いただける場合は、 2022 年 3 月 22 日よりも前に、一度ログイン操作をお願いいたします。 |
「えきねっと」部を「出前館」に書き換えただけでほぼほぼ同じ内容ですよね。 ということは、同一犯の可能性大! この本文中にある詐欺サイトへのリンクは「https://demae-can.com/login/」と 書かれていますが、これも使われているドメインは「出前館」の正規ドメインですが これも差出人のメールアドレスと同様に偽装です。 本当に接続されるリンク先のURLはこちら。 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で どのように評価されているか確認してみました。 ここでは既に危険な詐欺トとして登録済みでした。 このURLで使われているドメインは”demae-smit.xyz” ”.xyz”は、サイバー犯罪によく使われるものですので、このドメインを見たら”ピン”と 来てくださいね。 さて次に、ドメイン”demae-smit.xyz”について調べてみます。 この結果から、持ち主はアメリカアリゾナ州の方と判明。 そしてこのドメインをドメインを割当てているIPアドレスは”173.82.130.204”とあるので このIPアドレスを元にその割り当て地を確認してみます。 表示されたのは、グランドキャニオンに程近いカリフォルニア州サンタクラリタ付近です。 この地でどのような詐欺サイトを営んでいるのだろうと覗きに行きましたが、残念ながら サイトは一時閉鎖されているようです。 でも、安心しないでください。 現在もIPアドレスにドメインが割当てられたままですからいつでも復活できる状態ですから。
まとめこのパターンであれこれまた仕掛けてくるのでしょうか? 「出前館」が出たので、次は「Uber Eats」かも知れませんね(;^_^A ほんとあの手この手で騙そうとしてくるのでご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |