支払いの問題でApple IDがロックされました。【警告】というメールを解析してみる
EMOTET(エモテット)とは?感染拡大中のEMOTETの脅威・感染経路・事例・対策
弁護人和田の「あな.た.の.為.のお金で.す」スパムメール(迷惑メール)を解析する
公開日:
Twitterなどで見かける、「弁護人和田」のスパムメール(迷惑メール)がようやく届いたので、解析します。
弁護人和田からのスパムメールタイトル例
「お.気.持.ちを.教.えて.い.ただ.けま.せ.んか」
「あな.た.の.為.のお金で.す」
「も.し必要.であ.れ.ば.説明させて頂.き.ますの.で遠.慮な.く.聞いて.も.らいた.いで.す」
「今日お時.間あ.りま.す.か」
「受け取り.に関し.て大事.なお話.で.す」
「必ず.ご回答.下さい.→.最終.期限.が.迫っ.てお.り.こ.の.ま.ま.で.は打.ち切.りになってしまい.ます」
「私.に.お任.せ.く.だ.さ.い」
「お金は振り.込めま.す」
「貴方のた.め.の.お話.です」
等のタイトルで届きます。
弁護人和田という表現は弁護士という呼称を避けているのかと考えましたが、
「弁護.士.で.す.の.で.振込は確実です」
というタイトルもあるのでそうした理由でもないようです。
なお、本文は「こちら」というリンクだけです。
メールヘッダー解析
|
1 |
From: "弁護人和田" <sender@i9zhzpjf6d.net> |
Fromを見ると、i9zhzpjf6d.netというアドレスからきています。
|
1 |
From: "弁護人和田" <sender@p72pgmj8kt.net> |
という例もあるのですが、本記事では触れません。
様々なドメインを使っていますが、おおもとのIPアドレスは同じです。
Return-Pathも、
|
1 |
Return-Path: <return-747153865@i9zhzpjf6d.net> |
同じドメインです。
|
1 |
Received: from TITS*OPWJ (jdjh*wglo [10.41.12.26]) |
Receivedは10.41.12.26になっています。
これはプライベートIPなので、もう一つ進んでみます。
|
1 |
Received: from 16jos.ygb (unknown [103.228.62.156]) |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 |
inetnum: 103.228.62.0 - 103.228.62.255 netname: YORKLLC-JP descr: Dorumi Gotanda 407, 2-9-7 Nishigotanda country: JP → (日本) admin-c: YLA2-AP tech-c: YLA2-AP status: ALLOCATED NON-PORTABLE mnt-by: MAINT-YORKLLC-JP mnt-lower: MAINT-YORKLLC-JP mnt-routes: MAINT-YORKLLC-JP mnt-irt: IRT-YORKLLC-JP last-modified: 2014-03-24T07:36:28Z source: APNIC irt: IRT-YORKLLC-JP address: Dorumi Gotanda 407, 2-9-7 Nishigotanda, Shinagawa-ku Tokyo 141-0031 e-mail: info@york-llc.net abuse-mailbox: info@york-llc.net admin-c: YLA2-AP tech-c: YLA2-AP auth: # Filtered remarks: info@york-llc.net is invalid mnt-by: MAINT-YORKLLC-JP last-modified: 2019-11-27T14:14:15Z source: APNIC role: York LLC administrator address: Dorumi Gotanda 407, 2-9-7 Nishigotanda, Shinagawa-ku Tokyo 141-0031 country: JP → (日本) phone: +81-3-6869-8385 fax-no: +81-3-6869-8385 e-mail: info@york-llc.net admin-c: YLA2-AP tech-c: YLA2-AP nic-hdl: YLA2-AP mnt-by: MAINT-YORKLLC-JP last-modified: 2014-03-21T01:04:27Z source: APNIC |
送信元のIPアドレスから検索すると、York LLCという東京の合同会社がヒットします。
公開されている法人情報から調べてみます。
合同会社ヨーク (York LLC) 東京都品川区西五反田2-9-7 ドルミ五反田407
誘導先を見てみましょう。
|
1 |
<a href="http://sribfpdawy.net/mailbox/view?id=******&mailid=m**********&loginkey=*****************************************"> |
となっています。
安全を担保したうえでアクセスしてみます。
同一ドメイン内でリダイレクトがありますが、ショコラという出会い系サイトのようです。
IPアドレスは、
|
1 |
61.97.246.124 |
です。
これを検索すると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 |
inetnum: 61.97.240.0 - 61.97.255.255 netname: EHOSTICT descr: EHOSTICT country: KR → (韓国) admin-c: IM442-AP tech-c: IM442-AP status: ALLOCATED PORTABLE mnt-by: MNT-KRNIC-AP mnt-irt: IRT-KRNIC-KR last-modified: 2019-04-29T07:39:42Z source: APNIC irt: IRT-KRNIC-KR address: Jeollanam-do Naju-si Jinheung-gil e-mail: irt@nic.or.kr abuse-mailbox: irt@nic.or.kr admin-c: IM574-AP tech-c: IM574-AP auth: # Filtered remarks: irt@nic.or.kr was validated on 2019-10-01 mnt-by: MNT-KRNIC-AP last-modified: 2019-10-01T08:41:39Z source: APNIC person: IP Manager address: Seoul Geumcheon-gu Gasan digital 2-ro 98 country: KR → (韓国) phone: +82-70-7600-5516 e-mail: support@ehostidc.co.kr nic-hdl: IM442-AP mnt-by: MNT-KRNIC-AP last-modified: 2019-07-02T00:52:20Z source: APNIC % Information related to '61.97.240.0 - 61.97.255.255' inetnum: 61.97.240.0 - 61.97.255.255 netname: EHOSTICT-KR descr: EHOSTICT country: KR → (韓国) admin-c: JY1121-KR tech-c: JY1121-KR status: ALLOCATED PORTABLE mnt-by: MNT-KRNIC-AP mnt-irt: IRT-KRNIC-KR remarks: This information has been partially mirrored by APNIC from remarks: KRNIC. To obtain more specific information, please use the remarks: KRNIC whois server at whois.kisa.or.kr. changed: hostmaster@nic.or.kr source: KRNIC person: IP Manager address: Seoul Geumcheon-gu Gasan digital 2-ro 98 address: 5 Floor country: KR → (韓国) phone: +82-70-7600-5516 e-mail: support@ehostidc.co.kr nic-hdl: JY1121-KR mnt-by: MNT-KRNIC-AP changed: hostmaster@nic.or.kr source: KRNIC |
IPを調べると、韓国サーバーのようです。
リンクにはid、mailidやloginkeyといった変数が付加されています。
これにより、実際にリンクをクリックしてサイトに来た人物を特定していると考えられます。
同時に開封通知が届く仕組みになっていると考えられますので、開封するとそのメールアドレスが生きている証明になり大量に届くようになります。
よって、開封しない方が良いでしょう。
さて、本メディアを運営するCCSIもサイバーセキュリティ専門会社としてホスティングも行う都合上電気通信事業者となっていますが、この事業者はそうした表記もないようです。
スパムメールの情報提供先
さて、特定電子メール法では送信の同意をした覚えのない広告宣伝のメールは違法であり、総務省では情報提供を求めています。
送信されてきたすべてのメールを、一般財団法人日本データ通信協会の迷惑メール相談センターへすべて転送します。
本記事では触れませんでしたが、このメールは複数のドメインから送信されており、誘導先にある特商法のページにあるドメインは一つですが、実際の誘導先ドメインは一つではありません。
よってこうしたケースでは少々面倒ではありますがすべてを送信します。
同時に、各ブラックリストに登録して対応完了となります。
関連記事
関連記事
人気記事
