『詐欺メール』「＜緊急!メルカリ重要なお知らせ＞」と、来た件

詐欺サイトの閉鎖は一時的かも

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

1. メールコードに注意！
2. アドレス偽装は特定電子メール法違反
3. 詐欺サイトはロサンゼルス市庁舎付近に？！
4. まとめ

メールコードに注意！

メルカリは、無料で始められるアプリを使ったフリーマーケット。
アカウントを持っていない私のところに、今朝このような頓珍漢なメールが届きました。

どこかで漏洩したメールアドレスのリスト宛に無差別に送られたものなので、アカウントも
持ってようが持ってなかろうが差出人には関係ありません。

件名は
「[spam] ＜緊急!メルカリ重要なお知らせ＞ [メールコード M34]」
最近、このメールコードってヤツが付いたフィッシング詐欺メールが非常に多く見られます。
このメールに信憑性を持たせるためのものですが、最近ではメールコードが付いていると
逆に怪しまれたりしていると思います。(笑)

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「mercari <no-reply@mercari.jp>」
毎度のくだりで恐縮ですが、確かに”mercari.jp”は、メルカリさんの持ち物ですが、件名の
”[spam]”が示す通りこのメールは詐欺メールですから偽装に決まっています
その辺りを含め次項で考察していきましょう。

アドレス偽装は特定電子メール法違反

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<ewv@mercari.jp>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<75446566879E0E228CEC156CD3EF3FD1@mercari.jp>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from mercari.jp (unknown [106.13.111.92])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

まずは、メールアドレスにあったドメイン”mercari.jp”について情報を取得してみます。
このドメインを割当てているIPアドレスが”Received”に記載されているものと同じなら
差出人のメールアドレスだと認めますが、そうでない場合、特定電子メール法違反となり
処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰するほか、法人に対して3000万円以下の罰金

さて、今回はどうでしょうか？

はい、皆さんがお察しの通り”Received”に記載されている”106.13.111.92”とは全く異なる
IPアドレスが表示されていますから、この差出人はメールアドレスを偽っています。

”Received”のIPアドレスは、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられたのは、北京市にある天安門広場の東側辺り。
ほんとここの地図はよく表示されますね。
このメールはこの付近に設置されたメールサーバーを介して私の手元に届けられたようです。

詐欺サイトはロサンゼルス市庁舎付近に？！

引き続き本文を見ていきます。

こんにちは

アカウントで異常な動作が検出されたため、お客様の資産への損害を防ぐためにアカウントを
ロックします。ご不便をおかけして申し訳ございません。
このため、共通パスワードなどの個人情報が漏洩していないかご確認ください。
アカウントの使用を再開した後、パスワードを変更することをお勧めします。

できるだけ早くアカウントを復元するために下のリンクをクリックしてください，または、
このリンクをブラウザにコピーしてください，公式サイトに入り、画面の指示に従ってください。

なんとなく腑に落ちない日本語だと思いません？
それに句読点が”、”だったり”，”だったりと統一性が欠けています。

このメールはフィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「Mercariサインイン」って赤いボタンに張られていて、リンク先のURLがこちら。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

このように既に危険サイトと認識されており、カテゴリは「フィッシング」と書かれています。

このURLで使われているドメインは、サブドメインを含め”www.meseoscri.com”
このドメインにまつわる情報を取得してみます。

持ち主は、ちょくちょく見かけるマレーシアクアラルンプールの企業でした。

このドメインを割当てているIPアドレスは”23.94.174.131”
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられたのは、ロサンゼルスの街の中にある市庁舎付近。

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

残念ながら、サイトは既に閉鎖されておりGoogleにリダイレクトされてしまいました。
当局に感づかれたのを察知して一時的に閉鎖したのでしょう。
でも、これで安心してはいけません！
先程の調査で分かった通り、このドメインは現在もIPアドレスに割当てられたままですから
いつでも復元できる状態。
ほとぼりが冷めた頃に必ず再稼働させるはずです。