お取引目的等のご確認のお願い・ 質問項目のご回答をお願いいたします。という、みずほ銀行を名乗る2通のメールがフィッシング詐欺かを検証する。(その1)
千歳市の雇用情報ポータルサイト「ちとせの仕事」メルマガサーバーへ不正アクセス、81,000件の迷惑メールが送信される
お取引目的等のご確認のお願い・ 質問項目のご回答をお願いいたします。という、みずほ銀行を名乗る2通のメールがフィッシング詐欺かを検証する。(その2)
公開日:
みずほ銀行を名乗る宛先から、
お取引目的等のご確認のお願い、
という件名と
質問項目のご回答をお願いいたします。
という件名のメールが2通、1時間程度の間隔をあけて送られてきています。
2通のメールは、同じような内容の為、1通目に対応していない為に督促をされたように思う人がいるかもしれません。
また、メーラーにもよるとは思いますが、これらのメールは迷惑メールフォルダではなく、受信トレイに入っていました。
これらのメールがフィッシング詐欺かを検証します。
1通目のメールの検証についてはこちらをご覧ください。
お取引目的等のご確認のお願い・ 質問項目のご回答をお願いいたします。という、みずほ銀行を名乗る2通のメールがフィッシング詐欺かを検証する。(その1)
今回は、2通目の質問項目のご回答をお願いいたします。というメールを検証します。
犯罪収益移転防止法に基づき、お取引を行う目的等を確認させていただいております、この確認に伴いご返信頂けないお客様のアカウントに対し、一時的な利用制限を実施しております、質問項目のご回答をお願いいたします。
といった内容です。
2通目のメール本文の趣旨も、1通目とほぼ同じですが、1通目を確認後に2通目を見ると、回答が必要なのではないかと錯覚しそうです。
メール本文は以下の通り。
平素より、みずほ銀行をご利用いただきありがとうございます。
当社では、犯罪収益移転防止法に基づき、お取引を行う目的等を確認させていただいております。
また、この度のご案内は、当社ご利用規約第 9 条2 項 7 に基づくご依頼となります。
なお、この確認に伴いご返信頂けないお客様のアカウントに対し、一時的な利用制限を実施しております。
以下の内容をご確認のうえ、質問項目のご回答をお願いいたします。
> お取引目的等のご確認へ
https://web.ib.mizuhobank.co.jp/servlet/LOGBNK.do
お客様のご返信内容を確認後、利用制限の解除を検討させていただきますので、できる限り詳細にご回答ください。
今後ともみずほ銀行をご愛顧賜りますよう、よろしくお願い申しあげます。
また、みずほ銀行から、新商品やキャンペーン情報などのご案内を電子メールでお送りいたします。
ご案内のメールの配信停止をご希望の方は、こちらでお手続きください。
* ご使用の端末、機種その他お客さまのご利用環境などによっては配信停止画面等が正しく表示されない場合がございますので、
あらかじめご了承ください。
* 配信停止のご連絡をいただいてから、停止のお手続きが完了するまで1ヵ月程度かかる場合があります。
* ATM時間外手数料無料等、みずほマイレージクラブの特典ご利用についてのご案内も配信停止となります。
* お取引に関するご連絡やサービス内容変更等のご案内は配信させていただく場合がありますので、あらかじめご了承ください。
——————————————————————————————————————-
<みずほ銀行 カスタマーセンター>
0120-579-835(携帯電話・IP電話からは、03-6387-3213)
受付時間 平日9:00~16:00(キャッシュカード紛失盗難、不正利用に関しては24時間365日受付)
※03-6387-3213の通話料はお客さまのご負担となります。
まずは送信元を調べてみます。
|
1 2 |
From: MizuhoBank <follow@tpgaw.jp> Return-Path: <aoioshima5@otopumee.cyou> |
送信者名は「MizuhoBank」となっていますが、送信元ドメインはtpgaw[.]jpです。
このドメインは、ヤマダ電機のドメインと同一です。
Return-Pathはotopumee[.]cyouというドメインからです。
このドメインのwhois情報はを見てみると、レジストラはnamecheapというサービスでしたが、登録者の情報は隠されています。
送信元サーバーを調べてみます。
|
1 |
Received: from lgsiuadd ([216.108.228[.]57]) |
IPアドレスは216.108.228[.]57です。
このIPはオランダのサーバーのものでした。
次にメール本文中にあるリンクの遷移先について調べてみます。
メール本文をデコードしソースを確認すると、
|
1 2 |
<a rel="nofollow noopener noreferrer" target="_blank" href="https://raphaex[.]cyou/edgeworth.php"> <u>https://web.ib.mizuhobank.co[.]jp/servlet/LOGBNK.do</u></a> |
となっており、https://web.ib.mizuhobank.co[.]jp/servlet/LOGBNK.do とメールに表示されているものの、
実際の遷移先はhttps://raphaex[.]cyou/edgeworth.phpであるということが分かりました。
メールで表示されるリンク先のURLは1通目のメールと同一ですが、遷移先は異なります。
raphaex[.]cyouというドメインは、中国語・英語でドメインのサービスを行っている業者で、登録者は米国の組織となっていました。
このドメインが作られたのは、2022年10月12日となっていました。
安全を担保したうえでこのURLにアクセスしてみます。
このように、みずほダイレクトのログインページを模した偽のサイトが運用されていました。
画面は、1通目のメールからの遷移先と同じです。
指示に従って進むと、
このように、暗証番号等の入力を求められます。
IPアドレスは107.150.6[.]2です。
ASNは、1通目のメールからの遷移先と同じQuadraNet Enterprises LLCで、米国QuadraNetのホスティングサービスを利用したものでした。
また、このIPアドレスは、スパイウェアやボットネット等に関連する報告がされているIPでした。
質問項目のご回答をお願いいたします。というメールはフィッシング詐欺
みずほ銀行を名乗った、 質問項目のご回答をお願いいたします。というメールはフィッシング詐欺です。
このメールの送信者名は、みずほ銀行となっていますが、送信者名・送信元メールアドレスの表示は偽装されています。
メールは、オランダのサーバーから送信されています。
メール本文中にあるリンクの遷移先は、米国のホスティングサービスを利用して運営されているみずほダイレクトの偽のサイトです。
くれぐれもアカウント情報やクレジットカード情報、個人情報などを入力しないようご注意ください。
関連記事
カテゴリ:フィッシング
タグ:スパムメール,フィッシング詐欺,みずほダイレクト,みずほ銀行
関連記事
人気記事
