【重要なお知らせ】AEON ご利用確認のお願いというメールがフィッシング詐欺か検証する

公開日:2022/3/9

【重要なお知らせ】AEON ご利用確認のお願いというメールがフィッシング詐欺か検証します。

本人の利用かどうか確認したい取引があったので、カードの利用を一時制限したといった内容です。

メール本文は以下の通り。

【AEON CARD】利用いただき、ありがとうございます。

このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。

つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。

お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。

何卒ご理解いただきたくお願い申しあげます。

ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい。

■ご利用確認はこちら

ご不便とご心配をおかけしまして誠に申し訳ございませんが、

何とぞご理解賜りたくお願い申しあげます。

━━━━━━━━━━━━━━━

■発行者■

株式会社イオン銀行

東京都中野区中野4-3-2

──────────────────────────────────

© AEON CREDIT SERVICE CO., Ltd.

無断転載および再配布を禁じます。

まずはメールの送信元を調べてみます。

From: "株式会社イオン銀行" <userid@aeon.co[.]jp>
Return-Path: <userid@aeon.co[.]jp>

1 2	From: "株式会社イオン銀行" <userid@aeon.co[.]jp> Return-Path: <userid@aeon.co[.]jp>

送信者名は株式会社イオン銀行となっており、送信元メールアドレス、Return-Pathともにaeon.co.jpのドメインが設定されています。

そこで、送信元のサーバーを調べてみます。

Received: from userid0.aeon.co[.]jp (os3-304-41827.vs.sakura.ne.jp [49.212.197[.]81])

1	Received: from userid0.aeon.co[.]jp (os3-304-41827.vs.sakura.ne.jp [49.212.197[.]81])

userid0.aeon.co.jp とaeonのサーバーを自称していますが、IPアドレスから見るとさくらインターネットのIPアドレスです。

また、メール本文をデコードしてみると、Microsoft YaHei UI というフォントを利用しています。

これは簡体字中国語のフォントです。

さて、リンクの遷移先も調べてみます。

<A href="https://www1.aoencxuan[.]icu">■ご利用確認はこちら</A>

1	<A href="https://www1.aoencxuan[.]icu">■ご利用確認はこちら</A>

リンク先は https://www1.aoencxuan[.]icu であることが分かりました。

このドメインのwhois情報を調べてみると、

Domain Name: AOENCXUAN.ICU
Registry Domain ID: D280936942-CNIC
Registrar WHOIS Server: whois.aliyun.com
Registrar URL: http://www.alibabacloud.com
Creation Date: 2022-03-08T22:48:04.0Z
Registry Expiry Date: 2023-03-08T23:59:59.0Z
Registrar: ALIBABA.COM SINGAPORE E-COMMERCE PRIVATE LIMITED
Registrar IANA ID: 3775
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Domain Status: addPeriod https://icann.org/epp#addPeriod
Registrant Organization: Jerry
Registrant State/Province: Washington
Registrant Country: US

Domain Name: AOENCXUAN.ICU

Registry Domain ID: D280936942-CNIC

Registrar WHOIS Server: whois.aliyun.com

Registrar URL: http://www.alibabacloud.com

Creation Date: 2022-03-08T22:48:04.0Z

Registry Expiry Date: 2023-03-08T23:59:59.0Z

Registrar: ALIBABA.COM SINGAPORE E-COMMERCE PRIVATE LIMITED

Registrar IANA ID: 3775

Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited

Domain Status: addPeriod https://icann.org/epp#addPeriod

Registrant Organization: Jerry

Registrant State/Province: Washington

Registrant Country: US

登録者は米国ワシントン州となっていますが、ドメインレジストラは中国のアリババクラウドと書いてあります。

安全を担保したうえで実際にアクセスしてみると、

このように、イオンカードの偽サイトが運用されていました。

IPアドレスは、107.172.75[.]136 です。

ColoCrossingという米国のホスティングサービスのようです。

ソースを見ると、

<!-- saved from url=(0214)https://www.aeon.co.jp/auth/realms/msweb/protocol/openid-connect/auth?client_id=moneySiteWeb&redirect_uri=https://www.aeon.co.jp/msapi/public/v1/authorization/IssueToken&response_type=code&scope=openid&state=iuXJaF -->

1	<!-- saved from url=(0214)https://www.aeon.co.jp/auth/realms/msweb/protocol/openid-connect/auth?client_id=moneySiteWeb&redirect_uri=https://www.aeon.co.jp/msapi/public/v1/authorization/IssueToken&response_type=code&scope=openid&state=iuXJaF -->