「えきねっと」に続き今度は「JR西日本J-WEST」 東かと思えば今度は西。
えっ?なんの話かって?
JRを騙ったフィッシング詐欺メールの話ですよ! 今朝、このようなメールが届いていました。 
なんかどこかで見たことあるような本文です。
お問い合わせ先に「えきねっと」と「JR西日本J-WEST」とありますが「えきねっと」は確かJR東日本が
運営しているインターネットサービスでしたが、提携でもしているのでしょうか? では、このメールもプロパティーから見ていきましょう。 件名は
「[spam] 【JR西日本:Club J-WEST】お支払い方法が無効です」
「Club J-WEST」とは、JR西日本が提供する3つの会員サービスの総称。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「JR西日本 Club J-WEST事務局 <fuwu@8616nirx.cn>」
「Club J-WEST」さんには、れっきとした”jr-odekake.net”ってドメインをお持ちです。
それなのにこのような”8616nirx.cn”なんて中国のトップレベルドメインを使った
メールアドレスで大切なユーザーにメールを送るなんて絶対にあり得ません!
メールアドレスは偽装されています では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「<fuwu@8616nirx.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「20220420035557465477@8616nirx.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from jr-odekake.net (196.87.64.34.bc.googleusercontent.com [34.64.87.196])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | まずは、””について情報を取得してみます。
このドメインを割当てているIPアドレスが”Received”に記載されているものと同じなら
差出人のメールアドレスだと認めますが、そうでない場合、特定電子メール法違反となり
処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰するほか、法人に対して3000万円以下の罰金
さて、どう出るのでしょうか? 
”123.58.201.48”がこのドメインを割当てているIPアドレス。
”Received”に書かれているのが”34.64.87.196”ですから全く異なるので、この方はやはり
アドレス偽装。
しっかり罪を償っていただきましょう! ”Received”のIPアドレス”34.64.87.196”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその情報や割り当て地を確認してみます。 
このIPアドレスには”bc.googleusercontent.com”ってドメインが割当てられているようです。
このドメインの持ち主は、Google LLC。
この差出人は、どうやらGoogleの提供するインターネットサービスを利用してこのメールを
送ってきたようです。 IPアドレスの利用地は、韓国の首都ソウル。 
プロバイダー名にはやはり「Google Asia Pacific Pte. Ltd.」と書かれています。
「与信失敗」にご注意を! では引き続き本文。 この度は、JR西日本J-WESTネット会員をご利用いただきましてありがとうございます。
会員番号 :121017346
───────────────────────────────────
【重要】お支払い情報の更新をお願いします
───────────────────────────────────与信失敗により、JRきっぷの更新手続きが完了できませんでした。
失効を防ぐため、以下URLより現在のお支払い情報をご確認のうえ、
更新をお願いします。 | 「与信失敗」って熟語が使われたどこかで見たことのあるこの文面。
確か「お名前ドットコム」を騙ったフィッシング詐欺メールでも登場していましたね! このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「ログインはこちら」って書かれたところに張られていて、リンク先の
URLがこちらです。 
リンク先のページを開いただけでウイルスバスターから警告を受けました。 
このURLで使われているドメインは、サブドメインを含め”www.etwdhou.cn”
このドメインにまつわる情報を取得してみます。 
このドメインの管理者は「阿里云计算有限公司(万网)」と書かれているので、中国の大手IT企業
アリババに委託されています。
トップレベルドメインも”cn”って中国のものですから、おのずとどこの国の方の持ち物か想像つきます。 このドメインを割当てているIPアドレスは”192.210.147.104”
このIPアドレスを元にその割り当て地を確認してみます。 
ピンが立てられのは「ニューヨーク州バッファロー」付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。 
開いたのは「JR西日本:Club J-WEST」のログインページのコピー。
もちろん詐欺サイトですから絶対にログインしたりしないでください。
まとめ 西へ東へと、詐欺師もネタが付きませんね。
次はもっと西に行って九州とか?
それとも中間に戻って東海?
いずれにしても、各JRインターネットサービスユーザーの方は気を付けておく必要が
ありそうですね! いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
