『詐欺メール』「【三井住友銀行】ご登録お客様情報の定期的な確認のお願いにつきまして」と、来た件

三井住友カードさんのドメインは”vpass.ne.jp”

「三井住友カード」から、なんだか回りくどい件名のメールが届きました。
ご承知のことと思いますが、このメールはもちろんフィッシング詐欺メールです。

文字ばかりで味気の無いメールですね。
ご丁寧に3つもリンク付けてあるし…どれも詐欺サイトへのリンクですが…(汗)

では、このメールもプロパティーから見ていきましょう。

件名は
「[spam] 【三井住友銀行】ご登録お客様情報の定期的な確認のお願いにつきまして」
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「三井住友カード <contact.vpass.ne.jp@lypuzsi.cn>」
毎度の事ですが、三井住友カードさんは”vpass.ne.jp”って自社ドメインをお持ちです。
日本の財閥系信販企業が、わざわざ中国のトップレベルドメインを使ったメールでユーザーに
メールを送るなんて考えられません！

何らかの理由で複数ドメインを使い分け

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

”Received”に”az1am6.shop”なんてドメインが見えていますね。
まずは、ドメイン”lypuzsi.cn”を割り当てているIPアドレスを確認してみます。

”117.50.179.161”と出ましたの”Received”に書かれている数字と同じですので、差出人の
メールアドレスのドメインは間違いなく”lypuzsi.cn”です。

因みにドメイン”az1am6.shop”を割り当てているIPアドレスも同じものでした。

ということは、このメールサーバーの管理者は、何らかの理由で複数のドメインを使い分けて
利用しているようです。

この2つのドメイン、持ち主はどちらも中国から申請登録されていました。

では、IPアドレス”117.50.179.161”を使ってそのサーバーの情報を拾ってみます。

またしても最近よくて出てくる天安門広場の東側ですね。
どうやらこの付近に詐欺メールのメールサーバーが集中しているようです。
よく見ると、このIPアドレスは危険なものとして登録されていて、脅威レベルは「高」
そのカテゴリは「メールによるサイバーアタック」と書かれています。

詐欺サイトは一時的に閉鎖中か？！

では、本文です。

と書かれていて、その下にすぐリンクが張られています。
果たして全く説得力の無いこの短い文章でどれだけの人がリンクを押すか…
誰も幼いような気がしますけど。(笑)

で、そのリンク先のURLはこちら。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」でその評価を
確認してみました。

安全性の評価は「危険」とされていて、そのカテゴリは「詐欺サイト」と評価されていました。

このURLで使われているドメインは”qjgxbeu.cn”
このドメインについて情報を取得してみました。

このドメインの持ち主は、これらの調査でちょくちょく目にする方で、その氏名は
私では読めない文字を含む漢字3文字の氏名の方です。
ドメインの管理を中国のIT企業のアリババに委託されていることからすると、この方がどこの
国の方かはだいたい想像できますよね？

このドメインをドメインを割当てているIPアドレスは”104.21.93.139”と書かれているので
このIPアドレスを元にその割り当て地を確認してみます。

今度は、サンフランシスコ近代美術館付近の地図が表示されましたね。
どうやら詐欺サイトはこの付近にあるようです。

そのサイトは、一時閉鎖されているようで接続することはできませんでした。

でも油断しないでください。
このまま閉鎖されてしまう可能性もありますが、ドメインは先程調べたようにIPアドレスに
紐づいたままですからいつでも復活することが可能な状態です。

まとめ

敵も色々考えてきますから、フィッシング詐欺メールの内容も多岐にわたってきましたね。
とにかくリンクからログインを促されるようなメールは要注意です！
リンクは利用せず、スマホアプリやブラウザで自身が検索して出てきたサイトからログイン
するようにしてください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;