「NICOSカード異常な活動 ? アカウントを保護して下さい。」というメールが詐欺か検証する

公開日:2020/4/19 最終更新日:2020/4/20

「NICOSカード異常な活動 ? アカウントを保護して下さい。」というメールが詐欺か検証する（パターン2）

別のパターンの文面がありますので、こちらも検証します。

文面は以下の通りです。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┃

┃◆　NEWS+PLUS 利用の方　◆

┃　 NICOSカード WEBサービスログイン”

┃

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

******************************************************************

　本メールはドメインの運用（メール送受信やホームページの表示）に関わる

　重要な通知となります。

******************************************************************

いつもＭＵＦＧカードをご利用いただきありがとうございます。

弊社では、お客様に安心してカードをご利用いただくことを目的に、

第三者による不正使用を防止するモニタリングを行っています。

当社の検出を経て、第3者が不法悪意ログインあなたの三菱UFJニコスwebサービス。

お忙しいところ大変恐れ入りますが、下の【お問い合わせ窓口】まで、

なお、ご契約いただいているカードについては、第三者による不正使用の

可能性がございますので、カードのご利用を一時的に停止させていただいている、

もしくは今後停止させていただく場合がございます。

ご不便とご心配をおかけしまして誠に申し訳ございませんが、

何とぞご理解賜りたくお願い申しあげます。

至急、ＭＵＦＧカード会員サービスに修正情報を再登録してください

━━━━━━━

■ 変更をご方法

━━━━━━━

三菱ＵＦＪニコス株式会社の

https//www.cr.mufg.jp/select/index.html

━━━━━━━

■ 注意事項

━━━━━━━

※変更後、48時間以内に発効する必要があり、期間中は使用できません。

※カードの個人情報によっては電話で連絡する場合もございます。。

※正確な情報は必ず記入してください。

▼ご不明な点?お問合せ

https://www.cr.mufg.jp/nicos/support/index.html

※本メールへの返信には回答を差しあげておりません。ご了承ください。

──────────────────────────────────────

発行元：三菱UFJニコス株式会社　

〒113-8411　東京都文京区本郷3丁目33番5号

本メールの無断転載はご遠慮ください。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Copyright(C) 2020 Mitsubishi UFJ NICOS Co.,Ltd. All Rights Reserved.

2020/4/20 7:50:01

送信元を確認してみます。

From: "NICOSカード" <email_info02@nicos.jp>
Return-Path: <q01@coralmink9.sakura.ne.jp>

1 2	From: "NICOSカード" <email_info02@nicos.jp> Return-Path: <q01@coralmink9.sakura.ne.jp>

送信者名はNICOSカード、送信元メールアドレスはemail_info02@nicos.jpと前述のパーターンと同一です。

Return-Pathがsakura.ne.jpのメールアドレスなのも同様です。

送信元IPアドレスを調べてみます。

Received: from rsi ([125.120.38.0])

1	Received: from rsi ([125.120.38.0])

125.120.38.0というIPアドレスが見つかりました。

このIPアドレスを調べてみると、

inetnum:        125.120.0.0 - 125.121.255.255
netname:        CHINANET-ZJ-HZ
country:        CN　　　→　（中国）
descr:          CHINANET-ZJ Hangzhou node network
descr:          Zhejiang Telecom
admin-c:        CZ4-AP
tech-c:         CH122-AP
status:         ALLOCATED NON-PORTABLE
mnt-by:         MAINT-CHINANET-ZJ
mnt-lower:      MAINT-CN-CHINANET-ZJ-HZ
last-modified:  2008-09-04T07:10:33Z
source:         APNIC

inetnum: 125.120.0.0 - 125.121.255.255

netname: CHINANET-ZJ-HZ

country: CN　　　→　（中国）

descr: CHINANET-ZJ Hangzhou node network

descr: Zhejiang Telecom

admin-c: CZ4-AP

tech-c: CH122-AP

status: ALLOCATED NON-PORTABLE

mnt-by: MAINT-CHINANET-ZJ

mnt-lower: MAINT-CN-CHINANET-ZJ-HZ

last-modified: 2008-09-04T07:10:33Z

source: APNIC

中国のIPアドレスのようです。

次に、メールのリンク先URLを調べてみます。

<A href="https://www.amibweouyi[.]buzz/">https//www.cr.mufg.jp/select/index.html</A>

1	<A href="https://www.amibweouyi[.]buzz/">https//www.cr.mufg.jp/select/index.html</A>

cr.mufg.jpという正規のドメインが表示されているものの真のリンク先はhttps://www.amibweouyi[.]buzz/と異なるURLになっています。

このドメインのwhois情報を調べてみると、

Domain Name: amibweouyi.buzz
Registry Domain ID: D674D0AC233E344929006AC12E8FB1EEC-NSR
Registrar WHOIS Server: whois.namesilo.com
Registrar URL: www.namesilo.com
Updated Date: 2020-04-19T16:45:59Z
Creation Date: 2020-04-19T16:30:41Z
Registry Expiry Date: 2021-04-19T16:30:41Z
Registrar: NameSilo, LLC
Registrar IANA ID: 1479
Registrar Abuse Contact Email: abuse@namesilo.com
Registrar Abuse Contact Phone: +1.4805240066
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: addPeriod https://icann.org/epp#addPeriod
Registry Registrant ID:
Registrant Name:
Registrant Organization: See PrivacyGuardian.org
Registrant Street:
Registrant Street:
Registrant Street:
Registrant City:
Registrant State/Province: AZ
Registrant Postal Code:
Registrant Country: US
Registrant Phone:
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.

Domain Name: amibweouyi.buzz

Registry Domain ID: D674D0AC233E344929006AC12E8FB1EEC-NSR

Registrar WHOIS Server: whois.namesilo.com

Registrar URL: www.namesilo.com

Updated Date: 2020-04-19T16:45:59Z

Creation Date: 2020-04-19T16:30:41Z

Registry Expiry Date: 2021-04-19T16:30:41Z

Registrar: NameSilo, LLC

Registrar IANA ID: 1479

Registrar Abuse Contact Email: abuse@namesilo.com

Registrar Abuse Contact Phone: +1.4805240066

Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited

Domain Status: addPeriod https://icann.org/epp#addPeriod

Registry Registrant ID:

Registrant Name:

Registrant Organization: See PrivacyGuardian.org

Registrant Street:

Registrant City:

Registrant State/Province: AZ

Registrant Postal Code:

Registrant Country: US

Registrant Phone:

Registrant Phone Ext:

Registrant Fax:

Registrant Fax Ext:

Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.

登録者はまたアメリカのようです。

安全を担保してまたこのURLにアクセスしてみると、

また同じようにNEWS+PLUSという、三菱UFJニコスのカード会員向けサイト（偽のフィッシング詐欺サイト）が現れます。

カテゴリ：フィッシング
タグ：MUFGカード,NEWS+PLUS,NICOSカード,スパムメール,フィッシング詐欺

「NICOSカード異常な活動 ? アカウントを保護して下さい。」というメールが詐欺か検証する