みなさん、こんにちは!
ブリュの公式ブログ.netにお越しいただきまして、ありがとうございます。
このサイトでは、ITについて特化したサイトを運営しています。
今回は、佐川急便を装った「お客様宛に荷物のお届けにあがりましたが不在の為持ち帰りました。」というタイトルの迷惑メールについて紹介します。
なお、この迷惑メールの危険性はかなり高いです。
特に、リンクをクリックすると、メールアドレスが抜き取られる可能性もあります。
絶対にメールの開封及びリンクのクリックはしないでください。
目次
迷惑メールの全文
この迷惑メールの全文です。
Title:【更新案内】継続と破棄について
メール本文
平素はプレミアムサービスをご利用いただき、誠にありがとうございます。
無料期間が満了となりましたので、無料期間が終了した本日[※具体的な日付※]から、1か月ごとに料金が発生いたします。
更新をされる場合、2年間(または1年間)のご契約となります。自動受付となりますのでお手続きの必要はございません。
【契約継続をご希望されない場合】
下記窓口より停止連絡のお申し出をお願いします。
——-
ttp://eb1dofysf9ylxl253g2.eil.7p1oju6l10.com
——-
※お申し出がない場合、新たに[※具体的な日付※]より2年間(または1年間)のご契約に自動更新いたします。
※契約期間の中途で解約された場合は所定の解約金がかかります。
典型的なフィッシングメールですね。
有料コンテンツの継続が行われることを理由に、個人情報、さらにはクレジットカード情報を抜き取る目的があるようです。
そもそもサービス名が書いていない時点でおかしいです。
実際に詐欺サイトにアクセスしてみた!
この迷惑メールに記載されているURL「ttp://eb1dofysf9ylxl253g2.eil.7p1oju6l10.com」に実際にアクセスしてみました。
するとリダイレクトが行われ、「ttp://d647rn.com」のドメインへと転送されました。
どうやら、TSUTAYAやAmazonプライムなどの、オンライン上で有料コンテンツを配信するサイトに偽装しているようです。
「お試し期間終了」の文字が、AmazonやTSUTAYAのロゴと重なっていますね。
この詐欺サイトの運営者は、HTMLやCSSの知識に乏しいのでしょう。
う~ん、、、不合格!!!
下のスクリーンショットでは、黒塗りで隠した部分に具体的な迷惑メールが記載されています。
一応デタラメなメールアドレスの様ではありますが、確信が持てません。
私がこの詐欺サイトにアクセスするときには、安全のためにあえてパソコンからURLを直に打ち込んでダイレクト流入をしており、一切のリファラーを渡していません。
また、迷惑メールのリンクには、特別にパラメーターを送るようなものもありません。
よって、限りなくメールアドレスの特定は不可能であるといえます。
黒塗り部分に掲載されているメールアドレスは、もしかしたら関係のない誰かのメールアドレスなのかもしれません。
しかし、サブドメイン単位でメールアドレスとの紐づけを行っている可能性もあるので、危険性の高いリンクといえます。
ここで個人情報の抜き取りを行います。
これ以上先へは相当危険なので進んでいませんが、おそらく「清算するためにクレジットカードの情報を入力してください」といった、クレジットカード情報の抜き取りに及ぶのでしょう。
最後がネタです。
個人情報保護の基本方針という欄に、「SSL/TSL暗号化技術により接続は安全に維持されます。」って書いてますけど、このサイトはSSL化されていません。
SSL化されているサイトは、https://からURLが始まりますが、この詐欺サイトはhttp://から始まっています。
何度も書きますが、完全に詐欺サイトです。
詐欺サイト運営者の情報を調べてみる
この詐欺サイトを誰が運営しているのか調べてみました。
総合的に判断すると、恐らく、日本人によって詐欺が行われているようです。
- 迷惑メールのリンク先ドメイン:eb1dofysf9ylxl253g2.eil.7p1oju6l10 . com
- 詐欺サイトのドメイン:d647rn . com
となりますので、これをもとに調べます。
なお、Whois情報は、、IPアドレスからの国別判定については、を利用しました。
eb1dofysf9ylxl253g2.eil.7p1oju6l10 . comについて
eb1dofysf9ylxl253g2.eil.7p1oju6l10 . comドメインのIPアドレスは、35.181.66.106で、Amazonのサーバーで運営されています。
そして、IPアドレスからの国別判定は、北アメリカおよびサブサハラ・アフリカとなります。
サーバー自体は外国の様です。
また、同一サーバー内に他のドメインはありませんでした。
そして、eb1dofysf9ylxl253g2.eil.7p1oju6l10 . comはサブドメイン形式となっており、独自ドメイン部分の7p1oju6l10 . comについて調べても結果は同じでした。
そして、ドメインの所有者であるWhois情報について調べてみると、レジストラはお名前.com、ネームサーバーはバリュードメインになっていました。
お名前.comやバリュードメインは、GMOインターネットグループのサービスです。
つまり日本のサービスなので、日本人がサーバーのみを海外で借りて詐欺行為に及んでいる可能性が高いでしょう。
※お名前.comやバリュードメインはドメインの取得や無料のネームサーバーの提供を行う会社であり、詐欺サイトの運営に関して直接的に関係のある会社ではありません。
d647rn . comについて
次に、実際に詐欺サイトが運営されているd647rn . comというドメインについても調べてみました。
IPアドレスは192.144.82.250で、おそらく個人運営のサーバーでしょう。
IPアドレスからの国別判定は、アジア/太平洋圏となりました。
やはり日本のサーバーの可能性が高いですね。
そして、d647rn . comのWhois情報を調べると、、、
やはりレジストラーがお名前.comでネームサーバーがバリュードメインです。
これって完全に日本人でしょ・・・
この詐欺メールへの適切な対応
開封せずに削除する
この詐欺メールへの適切な対応は、開封せずに削除するに限ります。
ハッタリか何かはわかりませんが、登録メールアドレスと称する詐欺サイト上にメールアドレスが記載されていました。
メールで届いたリンクをそのままクリックすると、何らかの形でメールアドレスが詐欺サイト運営者側に漏れる可能性が否定できません。
よって、リンクをクリックすることすら危険です。
リンクをクリックしてしまったら?
リンクをクリックしないに越したことはないのですが、万が一リンクをクリックしてしまったとしても、特別心配することもないでしょう。
リンクをクリックしたことによってメールアドレスが詐欺サイト運営者に伝わっている可能性は否定できません。
しかし、直接的な被害が生じる可能性は低いでしょう。
この場合考えられるリスクとしては、詐欺脚との運営者に、迷惑メールを開封し、反応する人だと思われて、今後同様の迷惑メールが急増する可能性があります。
十分注意してください。
また、スマートフォンの動作がおかしいなどあれば、ウイルス感染している可能性もあるので、念のためにウイルススキャンなども行った方が良いです。
個人情報を入力してしまったら?
クレジットカードなどの情報を入力してしまった場合には、今すぐにでもクレジットカード会社に連絡をして、カードを停止してください。
クレジットカードの不正利用の危険性が限りなく高いです。
住所や電話番号を入力してしまった場合や、不審な郵便や迷惑電話などが発生する可能性があります。
しかし、こればかりは引越しする以外に対処方法がないです。
今後同じような迷惑メールに引っ掛からないように注意しましょう。
可能性は低いですが、もし、身の回りで見張られているなど、何か危険を感じるのであれば、最寄りの警察に相談するしかないです。
迷惑メール情報:「【更新案内】継続と破棄について」はフィッシングメールです。のまとめ
ここまで、「【更新案内】継続と破棄について」というタイトルの迷惑メールについて紹介してきました。
クリックするだけでも危険なメールなので、見つけ次第開封せずに削除してください。
特に、同様の事例として、有料コンテンツの関係する詐欺メールはかなり多いです。
基本的に、メールの部分に
「●●様」と、ご自身の名前が書いていない
相手の会社名が不明
の場合には、詐欺メールの可能性が高いです。
詐欺メールの一つの見分け方として、参考にしてください。
以上、「【更新案内】継続と破棄について」というタイトルの迷惑メールについて、参考になれば幸いです。
