三井住友カードさんのドメインは”vpass.ne.jp”「三井住友カード」から、なんだか回りくどい件名のメールが届きました。 ご承知のことと思いますが、このメールはもちろんフィッシング詐欺メールです。 文字ばかりで味気の無いメールですね。 ご丁寧に3つもリンク付けてあるし…どれも詐欺サイトへのリンクですが…(汗) では、このメールもプロパティーから見ていきましょう。 件名は 「[spam] 【三井住友銀行】ご登録お客様情報の定期的な確認のお願いにつきまして」 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「三井住友カード <contact.vpass.ne.jp@lypuzsi.cn>」 毎度の事ですが、三井住友カードさんは”vpass.ne.jp”って自社ドメインをお持ちです。 日本の財閥系信販企業が、わざわざ中国のトップレベルドメインを使ったメールでユーザーに メールを送るなんて考えられません!
何らかの理由で複数ドメインを使い分けでは、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<contact.vpass.ne.jp@lypuzsi.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<448E60367A4D3769608CA40A4E329CBD@contact.vpass.ne.jp>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from lypuzsi.cn (az1am6.shop [117.50.179.161])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
”Received”に”az1am6.shop”なんてドメインが見えていますね。 まずは、ドメイン”lypuzsi.cn”を割り当てているIPアドレスを確認してみます。 ”117.50.179.161”と出ましたの”Received”に書かれている数字と同じですので、差出人の メールアドレスのドメインは間違いなく”lypuzsi.cn”です。 因みにドメイン”az1am6.shop”を割り当てているIPアドレスも同じものでした。 ということは、このメールサーバーの管理者は、何らかの理由で複数のドメインを使い分けて 利用しているようです。 この2つのドメイン、持ち主はどちらも中国から申請登録されていました。 では、IPアドレス”117.50.179.161”を使ってそのサーバーの情報を拾ってみます。 またしても最近よくて出てくる天安門広場の東側ですね。 どうやらこの付近に詐欺メールのメールサーバーが集中しているようです。 よく見ると、このIPアドレスは危険なものとして登録されていて、脅威レベルは「高」 そのカテゴリは「メールによるサイバーアタック」と書かれています。
詐欺サイトは一時的に閉鎖中か?!では、本文です。 三井住友銀行SMBCダイレクトご利用のお客様 セキュリティステムを更新のお知らせと登録情報確認のお願につきまして |
と書かれていて、その下にすぐリンクが張られています。 果たして全く説得力の無いこの短い文章でどれだけの人がリンクを押すか… 誰も幼いような気がしますけど。(笑) で、そのリンク先のURLはこちら。 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」でその評価を 確認してみました。 安全性の評価は「危険」とされていて、そのカテゴリは「詐欺サイト」と評価されていました。 このURLで使われているドメインは”qjgxbeu.cn” このドメインについて情報を取得してみました。 このドメインの持ち主は、これらの調査でちょくちょく目にする方で、その氏名は 私では読めない文字を含む漢字3文字の氏名の方です。 ドメインの管理を中国のIT企業のアリババに委託されていることからすると、この方がどこの 国の方かはだいたい想像できますよね? このドメインをドメインを割当てているIPアドレスは”104.21.93.139”と書かれているので このIPアドレスを元にその割り当て地を確認してみます。 今度は、サンフランシスコ近代美術館付近の地図が表示されましたね。 どうやら詐欺サイトはこの付近にあるようです。 そのサイトは、一時閉鎖されているようで接続することはできませんでした。 でも油断しないでください。 このまま閉鎖されてしまう可能性もありますが、ドメインは先程調べたようにIPアドレスに 紐づいたままですからいつでも復活することが可能な状態です。
まとめ敵も色々考えてきますから、フィッシング詐欺メールの内容も多岐にわたってきましたね。 とにかくリンクからログインを促されるようなメールは要注意です! リンクは利用せず、スマホアプリやブラウザで自身が検索して出てきたサイトからログイン するようにしてください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |