国内企業のサポセンが中国のドメインで?!いや~、それにしてもこのところ「えきねっと」に関するフィッシング詐欺メールの猛攻が 続いていますね。(;^_^A 今朝もメールボックスには、「えきねっと」関係のメールが3つ。 まずこれからご紹介しようと思います。 内容は、「不正利用監視システム」で第三者不正利用の疑いが見つかったのでリンク先から 確認を行ってください、言うフィッシング詐欺メールではよくありがちがもの。 では、このメールもプロパティーから見ていきましょう。 件名は 「[spam] 【重要なお知らせ】えきねっとアカウントのご利用確認のお願い。メール番号:M861554」 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”えきねっとサポートセンター” <cbvlh@service.rqgdf.cn>」 「えきねっと」は、JR東日本が運営するインターネットサービス。 サポートセンターと名の付く部署が”eki-net.com”って正規ドメインが有るのにわざわざ中国の トップレベルドメインを使ったメールアドレスでユーザーにメールを送るはずがありません!
「サイバーアタックの攻撃元で攻撃対象:メール」では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<cbvlh@service.rqgdf.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20220328070550341870@service.rqgdf.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from service.rqgdf.cn (service.rqgdf.cn [192.210.226.133])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
まずは、メールアドレスに使われているドメイン”service.rqgdf.cn”の情報を取得します。 このドメインを割当てているIPアドレスは”192.210.226.133”で”Received”に記載されている ものと同じなので、差出人のメールアドレスに偽装は無し。 ”Received”のIPアドレスは、差出人が利用しているメールサーバーのもの。 このIPアドレスを元にその割り当て地を確認してみます。 ピンが立てられたのはニューヨーク州バッファロー付近。 メールサーバーはこの辺りにあるようです。 そして注目したいのは、脅威のレベル。 既に「高」と評価されていて、その詳細は「サイバーアタックの攻撃元 攻撃対象:メール」 このメールは相当危険そうです。
姑息に無料のドメイン使って本文は、フィッシング詐欺メールではよくあるもの。 今まではさらっと流して読んできましたが、よく見てみると気になる部分が… 「24時間365日体制」って前後ろ逆じゃない? 普通は「365日24時間体制」だと思うんだけど…(汗) そして、このメールにも詐欺サイトへのリンクが付けられており、そのリンク先のURLは 図中に書いた通り”workers.dev”ってドメインを使ったもの。 でもこれは偽装されていて、実際に接続されるリンク先のURLはこちら。 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認すると 何故か「安全」と評価されています。 やはりこのドメインは、No-IPさんの「ダイナミックDNS」でしたね。 早速、評価変更リクエストを依頼しておきました。 このURLで使われているドメインは、サブドメインを含め”checkid.ddnsking.com” ”ddnsking.com”って確か、むりょぅでドメインを借りることのできるNo-IPが貸出している ダイナミックDNS。 このドメインについても割当てているIPアドレスを取得してみました。 これによるとそのIPは”35.200.92.250” このIPアドレスを元にその割り当て地を確認してみます。 てっきりロサンゼルスかと思えば、ピンが打たれたのは驚くことに東京都杉並区。 こんなところに詐欺サイトを運営するウェブサーバーが置かれているのです。 サイトはもちろん「えきねっと」の偽サイト。 「サイトセーフティーセンター」ではノーマークでしたので、ウイルスバスターに遮断される となくサックリと無防備に開きました。 とても危険です! 絶対にログインしないでください。
まとめ「「不正利用監視システム」を導入し」ってくだりは、この後ろに「情報を更新してください」 と付け加えれば詐欺師にとってなんにでも使える魔法の言葉ですね。 この言葉には気を付けたいものです。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |