『詐欺メール』「【重要】「出前館アカウントの自動退会処理について」と、来た件

heart

3年前

「出前館」にまで手を出してきたか

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

「自動退会処理」ってフレーズで思い出すのは？

アマゾン、三井住友、VISA、ヨドバシ…今朝も大量に届いているフィッシング詐欺メールの
一覧の中に「出前館」と、初お目見えの文字が。
どうやらここも標的にされてしまったようです。

では、このメールもプロパティーから見ていきましょう。

件名は
「[spam] 【重要】「出前館アカウントの自動退会処理について」
あれれ？　この「自動退会処理」ってフレーズ見たことある方も多いのではないでしょうか。
そう、「えきねっと」です。
少し前に「このようなブログエントリー」書いていますが、この時の内容と酷似しています。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”Demaecan” <notice@demae-can.com>」
毎度同じくだりで申し訳ありませんが、初めての方もいらっしゃると思うので我慢して
お読みください。
”demae-can.com”は確かに「出前館」さんの正規ドメインですが、件名には”[spam]”が
示す通りこのメールは詐欺メールですから間違いなく偽装されています。
その辺りを含め、次項で解説していきます。

偽装がバレバレ

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<mail@ltfhkcj.cn>」

ほらね、もう化けの皮がはがれてしまいました。(笑)
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、全く違うドメインの
メールアドレスが書かれているので偽装確定です！

Message-ID:「<20220324062911384528@ltfhkcj.cn>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from ltfhkcj.cn (ltfhkcj.cn [113.31.113.176])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

まずは”Return-Path”にあったメールアドレスのドメイン”ltfhkcj.cn”についての情報を
取得してみましょう。

このドメインを割当てているIPアドレスは”Received”に記載のものと同じですから
差出人のメールアドレスのドメインに間違いありません。
このドメインの持ち主は、私のは読めない字を含む漢字2文字の氏名の方で、このドメインの
管理は中国企業のアリババに委託されていますので、これらを考慮すれば差出人はどこの方か
だいたい想像つきますよね？(笑)

では、この”Received”にあったIPアドレス”113.31.113.176”を使ってメールサーバーの位置
情報を拾ってみます。

ピンが立てられた場所は、中国の北京市内でちょうど天安門広場の東辺り。
IPアドレスからの位置情報なので相当アバウトですが…
だいたいこの辺りからこのメールは発信されたようです。

これは「えきねっと」同一犯の可能性大！

次に「えきねっと」の詐欺メールと酷似している本文を見ていきます。
上が今回の「出前館」に成りすましたもので、下段が以前ご紹介した「えきねっと」に
成りすました詐欺メールの本文。

今回の詐欺メール

日頃より「出前館」をご利用いただきありがとうございます。

「出前館」は 2022 年 3 月 20 日(日)にサービスをリニューアルいたしました。
これに伴い、「出前館」利用規約・会員規約を変更し、最後にログインをした日より
起算して1年以上「出前館」のご利用（ログイン）が確認できない「出前館」アカウントは、
自動的に退会処理させていただくことといたしました。
なお、対象アカウントの自動退会処理を、本規約に基づき、2022 年 3月 20 日(月)より
順次、実施させていただきます。

2か月以上ログインしていないお客さまで、今後も「出前館」をご利用いただける場合は、
よりも前に、一度ログイン操作をお願いいたします。

「えきねっと」の詐欺メール

日頃より「えきねっと」をご利用いただきありがとうございます。

「えきねっと」は 2022 年 3 月08 日にサービスをリニューアルいたしました。
これに伴い、「えきねっと」利用規約・会員規約を変更し、最後にログインをした日より
起算して２年以上「えきねっと」のご利用（ログイン）が確認できない「えきねっと」
アカウントは、自動的に退会処理させていただくことといたしました。
なお、対象アカウントの自動退会処理を、本規約に基づき、2022 年 3 月 22 日より
順次、実施させていただきます。

２年以上ログインしていないお客さまで、今後も「えきねっと」をご利用いただける場合は、
2022 年 3 月 22 日よりも前に、一度ログイン操作をお願いいたします。

「えきねっと」部を「出前館」に書き換えただけでほぼほぼ同じ内容ですよね。
ということは、同一犯の可能性大！

この本文中にある詐欺サイトへのリンクは「https://demae-can.com/login/」と
書かれていますが、これも使われているドメインは「出前館」の正規ドメインですが
これも差出人のメールアドレスと同様に偽装です。
本当に接続されるリンク先のURLはこちら。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で
どのように評価されているか確認してみました。

ここでは既に危険な詐欺トとして登録済みでした。

このURLで使われているドメインは”demae-smit.xyz”
”.xyz”は、サイバー犯罪によく使われるものですので、このドメインを見たら”ピン”と
来てくださいね。

さて次に、ドメイン”demae-smit.xyz”について調べてみます。

この結果から、持ち主はアメリカアリゾナ州の方と判明。

そしてこのドメインをドメインを割当てているIPアドレスは”173.82.130.204”とあるので
このIPアドレスを元にその割り当て地を確認してみます。

表示されたのは、グランドキャニオンに程近いカリフォルニア州サンタクラリタ付近です。
この地でどのような詐欺サイトを営んでいるのだろうと覗きに行きましたが、残念ながら
サイトは一時閉鎖されているようです。

でも、安心しないでください。
現在もIPアドレスにドメインが割当てられたままですからいつでも復活できる状態ですから。

まとめ

このパターンであれこれまた仕掛けてくるのでしょうか？
「出前館」が出たので、次は「Uber Eats」かも知れませんね(;^_^A
ほんとあの手この手で騙そうとしてくるのでご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)