【重要なお知らせ】「新幹線eチケットサービス」えきねっとアカウントの自動退会処理について、というメールがフィッシング詐欺か検証する

公開日: 最終更新日:

【重要なお知らせ】「新幹線eチケットサービス」えきねっとアカウントの自動退会処理について、というメールがフィッシング詐欺か検証します。

「えきねっと」はサービスをリニューアルしました、これに伴い最後にログインをした日より起算し て2年以上「えきねっと」のご利用(ログイン)が確認できない「えきねっと」アカウント は、自動的に退会処理させていただくことといたしました、今後も「えきねっと」をご利用いただける場合 は、2022 年 10 月 30 日(日)よりも前に、一度ログイン操作をお願いいたします、といった内容です。

メール本文は以下の通り。

いつもご利用いただきありがとうございます

「えきねっと」は 2022 年 9 月 27 日(火)にサービスをリニューアルいたしました。これ に伴い、

「えきねっと」利用規約・会員規約を変更し、最後にログインをした日より起算し て2年以上

「えきねっと」のご利用(ログイン)が確認できない「えきねっと」アカウント は、自動的に退会処理させていただくことといたしました。なお、対象アカウントの自動退会処理を、本規約に基づき、2022 年 9 月 27 日(火)より順次、実施させていただきます。

2年以上ログインしていないお客さまで、今後も「えきねっと」をご利用いただける場合 は、2022 年 10 月 30 日(日)よりも前に、一度ログイン操作をお願いいたします。

⇒ ログインはこちら

◆注意事項

なお、アカウントが退会処理された場合も、新たにアカウント登録(無料登録)していた だくことですぐに「えきねっと」をご利用いただくことができますので、今後もご愛顧いた だけますようよろしくお願いいたします。

——————————————————

発行:株式会社JR東日本ネットステーション

〒151-0051 東京都渋谷区千駄ヶ谷5-27-11 アグリスクエア新宿4階

——————————————————

Copyright (c) 2022 JR East Net Station Co., Ltd.

許可なく転載することを禁じます。

まずは送信元を確認してみます。

送信者名は「えきねっと」という名前になっており、送信元メールアドレスのドメインはeki-net[.]comになっています。

これは、えきねっとの公式ドメインです。

ところが、Return-Pathはaenoaen[.]icuというドメインのアカウントになっています。

このドメインのwhois情報を知らべてみると、

となっており、中国のアリババクラウドで取得されているドメインでした。

送信元のサーバーも調べてみます。

152.32.181[.]137というIPアドレスが出てきました。

このIPについて調べてみると、香港の企業が運営する、ドバイにあるサーバーのIPアドレスでした。

次にメール本文中にあるリンクの遷移先について調べてみます。

メール本文をbase64でデコードしてソースを表示すると、

となっており、https://www.etki-wauscemoet[.]icuが遷移先であることが分かります。

このドメインetki-wauscemoet[.]icuのwhois情報を調べてみると、

レジストラはアリババクラウドで、2022年10月10日に作られたドメインとなっています。

安全を担保したうえで、このURLにアクセスしてみます。

【重要なお知らせ】「新幹線eチケットサービス」えきねっとアカウントの自動退会処理について、というメールがフィッシング詐欺か検証する。遷移先画像1

このように、えきねっとのログイン画面をコピーした偽のサイトが運用されていました。

【重要なお知らせ】「新幹線eチケットサービス」えきねっとアカウントの自動退会処理について、というメールがフィッシング詐欺か検証する。遷移先画像2

ログインすると、個人情報の入力を求められます。

基本情報の入力後は、カード情報を求められるステップ式の入力画面です。

IPアドレスは137.184.208[.]144でした。

これは、米国のホスティングサービスのものです。

【重要なお知らせ】「新幹線eチケットサービス」えきねっとアカウントの自動退会処理について、というメールはフィッシング詐欺

【重要なお知らせ】「新幹線eチケットサービス」えきねっとアカウントの自動退会処理について、というメールはフィッシング詐欺です。

このメールは中国で取得されたドメインのアカウントで中国のサーバーから送信されています。

またリンクの遷移先はJR東日本・えきねっとの公式のものではなく、アリババクラウドのドメインサービスを使い、米国のホスティングサービスで運用されているものでした。

ネームサーバーは中国のものを使用していました。

このようなメールの遷移先のサイトを訪問しないようにしてください。

また、くれぐれもアカウント情報や個人情報、クレジットカード情報などを入力しないようご注意ください。

関連記事

カテゴリ:
タグ:,,,

関連記事

スパム フィッシング

LINEにご登録のアカウント(名前、パスワード、その他個人情報)の確認というフィッシング詐欺メールを解析

フィッシング 「楽天e-NAVI」ログインページ:楽天カード

「rakuten.co.jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認。2020年5月8日Fri」というメールがフィッシング詐欺か検証する

フィッシング

Account on Hold: Response Required caseIDというメールを解析してみる

フィッシング

「あなたみたい ?」といった絵文字付きfacebook(Messenger)スパムメッセージを調査する

フィッシング

「MyJCB Express News 重要な通知となります」という、JCBカード(MyJCB Express News)を騙るメールを分析する