Amazonからの重要なメール というメールがフィッシング詐欺か検証する
フィッシング詐欺の手口と対策に関して、朝日新聞の取材を受けました
【厚生労働省】重要なお知らせ、必ずお読みください というメールがフィッシング詐欺かを検証する
公開日:
【厚生労働省】重要なお知らせ、必ずお読みください というメールがフィッシング詐欺かを検証します。
メールの件名は【厚生労働省】重要なお知らせ、必ずお読みください です。
督促状で指定した期限までに未納の国民健康保険料が納付されない場合差し押さえを行う、といった内容のメールです。
メール本文は以下の通り。
督促状で指定した期限までに未納の国民健康保険料が納付されない場合
財産の差押えを行います
被保険者に連帯納付義務者 (世帯主および配偶者) がいる場合
連帯納付義務者に対しても財産の差押えを行います
━─━─━─━─━─━─━─━─━─━─━─
[ 支払い期限 ] 2023年5月26日 (支払期日の延長不可)
━━━━━━━━━━━━━━━━━━━━━━
[ 未払い金額 ] 40,000 円 (税込)
━─━─━─━─━─━─━─━─━─━─━─
▼▽ 支払いの詳細リンクエント▽▼
https://www.mhlw.go.jp/index.html
—————————————-
〒100-8916 東京都千代田区霞が関1-2-2
法人番号6000012070001
ご返信いただいても対応は致しかねますので予めご了承ください
—————————————-
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Copyright © Ministry of Health, Labour and Welfare, All Rights reserved.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
まずは送信元を確認してみます。
|
1 2 |
From:【厚生労働省】重要なお知らせ、必ずお読みください<admin@ml.etc-eisai[.]jp> Return-Path: <admin@henglitong.com[.]cn> |
送信者名が件名と同一になっています。送信者アドレスも、Return-Pathも厚生労働省の公式ドメインではありません。
送信元のサーバーを調べてみます。
|
1 |
Received: from mail.henglitong.com[.]cn (unknown [106.12.115[.]16]) |
106.12.115[.]16というIPアドレスが出てきました。
このメールを調べると、送信元は中国のサーバーでした。
次にメール本文中にあるリンクの遷移先について調べてみます。
メール本文には厚生労働省のURLが書かれていますが、クリックをして遷移するリンク先は異なるドメインです。
メールのソースコードをbase64でデコードすると、下記のように遷移先が表示されます。
|
1 |
<A href="https://akaya.com.cn/jp">https://www.mhlw.go.jp/index[.]html</A> |
<A></A>内に表示された実際の遷移先であるドメインのakaya.com[.]cnは、com[.]cnのサブドメインです。
.cnは中国のドメインです。whois情報は、確認できませんでした。
安全を確保した上で、このリンク先のページに入ると
このように、厚生労働省を模したサイトで国民健康保険未払いによる差し押さえの警告が表示されました。
先に進むと
このように、支払いを求められるのですが、支払い方法は電子マネー(vプリカ)のみとされています。
このページのIPアドレスは155.94.170[.]112です。
このIPアドレスのwhois情報を調べてみると
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 |
NetRange: 155.94.128[.]0 - 155.94.255[.]255 CIDR: 155.94.128.0/17 NetName: QUADRANET NetHandle: NET-155-94-128-0-1 Parent: NET155 (NET-155-0-0-0-0) NetType: Direct Allocation OriginAS: AS8100 Organization: QuadraNet Enterprises LLC (QEL-5) RegDate: 2014-06-11 Updated: 2018-08-30 Ref: https://rdap.arin.net/registry/ip/155.94.128.0 OrgName: QuadraNet Enterprises LLC OrgId: QEL-5 Address: 530 W. 6th ST Address: STE #901 City: Los Angeles StateProv: CA PostalCode: 90014 Country: US RegDate: 2018-06-07 Updated: 2023-02-14 Ref: https://rdap.arin.net/registry/entity/QEL-5 ReferralServer: rwhois://rwhois.quadranet.com:4321 OrgAbuseHandle: QUADR4-ARIN OrgAbuseName: QuadraNet Abuse OrgAbusePhone: removed phone number OrgAbuseEmail: removed email address OrgAbuseRef: https://rdap.arin.net/registry/entity/QUADR4-ARIN OrgTechHandle: QNO6-ARIN OrgTechName: QuadraNet Network Operations OrgTechPhone: removed phone number OrgTechEmail: removed email address OrgTechRef: https://rdap.arin.net/registry/entity/QNO6-ARIN # # ARIN WHOIS data and services are subject to the Terms of Use # available at: https://www.arin.net/resources/registry/whois/tou/ # # If you see inaccuracies in the results, please report at # https://www.arin.net/resources/registry/whois/inaccuracy_reporting/ # # Copyright 1997-2023, American Registry for Internet Numbers, Ltd. # |
QUADRANETという米国のホスティングサービス会社のものでした。このホスティングサービスは当サイトでもお馴染みの、フィッシングサイトの運用によく利用されているサービス会社です。
【厚生労働省】重要なお知らせ、必ずお読みくださいというメールはフィッシング詐欺
【厚生労働省】重要なお知らせ、必ずお読みください というメールはフィッシング詐欺です。
このメールは厚生労働省の公式アドレスから送られたメールではなく、中国のサーバーから送られたメールです。
メールから案内されるサイトのドメインは、中国のドメインです。また、実際のリンクの遷移先サイトは米国ホスティングサービスのもので、厚生労働省のロゴ等を使った偽のサイトです。
くれぐれも個人情報や電子マネーの情報などを入力しないようご注意ください。
関連記事
カテゴリ:フィッシング
タグ:スパムメール,フィッシング詐欺,厚生労働省,差し押さえ
関連記事
人気記事
