【AEON CREDIT】銀行から緊急のご連絡 1159というメールがフィッシング詐欺か検証する

公開日:2022/6/22

【AEON CREDIT】銀行から緊急のご連絡 1159 というメールがフィッシング詐欺か検証します。

本人の利用かどうか確認したい取引があったので、カードに利用制限をつけた、という内容です。

メール本文は以下の通り。

AEON CREDIT 銀行利用いただき、ありがとうございます。

このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。

つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。

お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。

何卒ご理解いただきたくお願い申しあげます。

ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい。

[

AEON CREDIT

ご不便とご心配をおかけしまして誠に申し訳ございませんが、

何とぞご理解賜りたくお願い申しあげます。

──────────────────────────────────

サイトマップ推奨環境プライバシー・ステートメントプライバシーポリシーイオンフィナンシャルサービスイオンクレジットサービス（運営会社）

──────────────────────────────────

AEON CREDIT SERVICE CO., Ltd.ゕダ

まずは送信元を調べてみます。

From: "AEON CREDIT 銀行" <tlam@fvdb[.]com>
Return-Path: <tlam@fvdb[.]com>

1 2	From: "AEON CREDIT 銀行" <tlam@fvdb[.]com> Return-Path: <tlam@fvdb[.]com>

送信者名はAEON CREDIT 銀行となっていますが、送信元メールアドレス、Return-Pathともにfvdb.comというドメインのメールアドレスになっています。

このドメインはオランダの声楽家のwebサイトのドメインで、ドメインの登録もオランダになっています。

そこで、送信元のサーバーを調べてみます。

Received: from fvdb[.]com (unknown [113.229.57[.]192])

1	Received: from fvdb[.]com (unknown [113.229.57[.]192])

113.229.57[.]192というIPアドレスが出てきました。

このIPアドレスを調べてみると、

inetnum: 113.224.0.0 - 113.239.255.255
netname: UNICOM-LN
descr: China Unicom Liaoning province network
descr: China Unicom
country: CN
admin-c: CH1302-AP
tech-c: GZ84-AP
remarks: service provider
status: ALLOCATED PORTABLE
mnt-by: APNIC-HM
mnt-lower: MAINT-CNCGROUP
mnt-lower: MAINT-CNCGROUP-LN
mnt-routes: MAINT-CNCGROUP-RR
remarks: --------------------------------------------------------
remarks: To report network abuse, please contact mnt-irt
remarks: For troubleshooting, please contact tech-c and admin-c
remarks: Report invalid contact via www.apnic.net/invalidcontact
remarks: --------------------------------------------------------
mnt-irt: IRT-CU-CN
last-modified: 2016-05-04T00:15:46Z
source: APNIC

inetnum: 113.224.0.0 - 113.239.255.255

netname: UNICOM-LN

descr: China Unicom Liaoning province network

descr: China Unicom

country: CN

admin-c: CH1302-AP

tech-c: GZ84-AP

remarks: service provider

status: ALLOCATED PORTABLE

mnt-by: APNIC-HM

mnt-lower: MAINT-CNCGROUP

mnt-lower: MAINT-CNCGROUP-LN

mnt-routes: MAINT-CNCGROUP-RR

remarks: --------------------------------------------------------

remarks: To report network abuse, please contact mnt-irt

remarks: For troubleshooting, please contact tech-c and admin-c

remarks: Report invalid contact via www.apnic.net/invalidcontact

remarks: --------------------------------------------------------

mnt-irt: IRT-CU-CN

last-modified: 2016-05-04T00:15:46Z

source: APNIC

中国、北京のIPアドレスのようです。

つまり、このメールは実在するドメインのメールアドレスを偽装して中国から発信されていることになります。

次にメール内リンクの遷移先について調べてみます。

<A href="https://www.jiujiangwj[.]com/jp">

1	<A href="https://www.jiujiangwj[.]com/jp">

https://www.jiujiangwj[.]com/jpが遷移先の様です。

このドメインのwhois情報を見ると、

Domain Name: jiujiangwj[.]com
Registry Domain ID: 2623263482_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.webnic.cc
Registrar URL: webnic.cc
Updated Date: 2022-06-21T11:32:39Z
Creation Date: 2021-06-30T04:49:42Z
Expiration Date: 2022-06-30T04:49:42Z
Registrar: WEBCC
Registrar IANA ID: 460
Registrar Abuse Contact Email: removed email address
Registrar Abuse Contact Phone: removed phone number
Domain Status: ok https://icann.org/epp#ok
Registry Registrant ID: Not Available From Registry
Registrant Name: Domain Admin
Registrant Organization: Whoisprotection.cc
Registrant Street: L4-E-2, Level 4, Enterprise 4, Technology Park Malaysia, Bukit Jalil
Registrant City: Kuala Lumpur
Registrant State/Province: Wilayah Persekutuan
Registrant Postal Code: 57000
Registrant Country: Malaysia
Registrant Phone: removed phone number
Registrant Phone Ext:
Registrant Fax: removed phone number
Registrant Fax Ext:
Registrant Email: removed email address