『よくご利用いただいているお取引』というゆうちょ銀行からのメールがフィッシング詐欺か検証する
コインチェック、ドメインレジストラ(お名前.com)のアカウントに不正アクセスされ一部ユーザー(約200名)のメールが流出か
「お客さまの安全確保のための措置を行っております」というゆうちょ銀行からのメールがフィッシング詐欺か検証する
公開日:
見出し
「お客さまの安全確保のための措置を行っております」というゆうちょ銀行からのメールがフィッシング詐欺か検証します。
セキュリティを高めるためにシステムのバージョンアップを行ったので、口座を更新して欲しいという内容です。
文面は以下の通り。
新型コロナウイルス感染症に罹患された皆さま、また、感染拡大によりご不安な日常生活を過ごされている皆さまに、謹んでお見舞い申し上げます。
最近、ゆうちょ銀行はお客様の口座資金のセキュリティを高めるために、全面的にシステム
のバージョンアップを行いました。すぐに口座の更新をお願いします。
こちらのURLをクリックしてください
https://www.jp-bank.japanpost.jp/otificatio/covid1/overvie
■ゆうちょダイレクトのセキュリティに関するお願い
ゆうちょダイレクトをより安全にご利用いただくため、
以下のセキュリティ対策の実施をお願いいたします。
●トークン(ワンタイムパスワード生成機)のご利用(無料)
●OSやインストールしているソフト等は常に最新の状態で使用
●メーカーのサポート期限が経過したOSやソフト等は使用しない
●ウイルス対策ソフトの導入および最新の状態への更新
●不正送金対策ソフト「PhishWallプレミアム」のご利用(無料)
■====================■
※このメールにお心当たりのない方は、至急ご連絡をお願いいたします。
ゆうちょダイレクトサポートデスク
※ 現在、受付時間を短縮しております。
電話:0120-992504(通話料無料)
お取扱時間:平日 8時30分21時
土日休日 9時17時
(12月31日1月3日は、9時17時)
ゆうちょ銀行
information@jp-bank.japanpost.jpからの送信は偽装
まずメールヘッダーから送信元を調べてみます。
|
1 2 |
From: "【ゆうちょ銀行】" <information@jp-bank.japanpost.jp> Return-Path: <rrrmn@sovr.com> |
送信者名はゆうちょ銀行となっており、送信元メールアドレスも information@jp-bank.japanpost.jp となっています。
しかしReturn-Pathはrrrmn@sovr[.]com と異なるメールアドレスが設定されています。
送信元サーバーも調べてみます。
|
1 |
Received: from sovr.com (unknown [160.19.51.31]) |
160.19.51.31というIPアドレスが出てきました。
このIPアドレスを調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
inetnum: 160.19.48.0 - 160.19.51.255 netname: OURDOMAINS-HK descr: Unit 2209,22/F.,Wu Chung House, descr: 213 Queen's Road East, Wanchai, descr: Hong kong, China country: HK → (香港) org: ORG-OL1-AP admin-c: OLA8-AP tech-c: OLA8-AP status: ALLOCATED PORTABLE mnt-by: APNIC-HM mnt-lower: MAINT-OURDOMAINS-HK mnt-routes: MAINT-OURDOMAINS-HK mnt-irt: IRT-OURDOMAINS-HK remarks: -------------------------------------------------------- remarks: To report network abuse, please contact mnt-irt remarks: For troubleshooting, please contact tech-c and admin-c remarks: Report invalid contact via www.apnic.net/invalidcontact remarks: -------------------------------------------------------- last-modified: 2017-10-17T12:36:15Z source: APNIC |
送信元サーバーのIPアドレスは香港に割り当てられていることが分かります。
リンクの誘導先を調べる
メール本文中のリンクの誘導先を調べてみます。
メール本文中に見えているリンクのURLは、
|
1 |
https://www.jp-bank.japanpost.jp/otificatio/covid1/overvie |
ですが、実際にソースから見てみると、
|
1 |
<a href="https://www.oieui.com" target="_blank" |
となっており、実際の誘導先はhttps://www.oieui[.]comとなっており、実際に見えているURLとは異なります。
whois情報を調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
Domain Name: oieui.com Registry Domain ID: 2533071652_DOMAIN_COM-VRSN Registrar WHOIS Server: grs-whois.hichina.com Registrar URL: http://whois.aliyun.com Updated Date: 2020-06-02T04:21:56Z Creation Date: 2020-06-02T04:18:53Z Registrar Registration Expiration Date: 2021-06-02T04:18:53Z Registrar: Alibaba Cloud Computing (Beijing) Co., Ltd. Registrar IANA ID: 420 Reseller: Domain Status: ok https://icann.org/epp#ok Registrant City: Registrant State/Province: jiang su Registrant Country: CN Registrant Email:https://whois.aliyun.com/whois/whoisForm Registry Registrant ID: Not Available From Registry Name Server: DNS19.HICHINA.COM Name Server: DNS20.HICHINA.COM DNSSEC: unsigned Registrar Abuse Contact Email: DomainAbuse@service.aliyun.com Registrar Abuse Contact Phone: +86.95187 |
中国国内で取得されているドメインのようです。
IPアドレスを調べてみると、69.176.95.249 というIPでした。
このIPアドレスも香港のIPアドレスです。ただし、どのネームサーバーを使用しているかを見ると中国国内のネームサーバーが使用されています。
安全を担保してこのURLにアクセスしてみます。
すると、
このように偽のゆうちょ銀行のトップページが置かれています。
ゆうちょダイレクトへのログインボタンをおすと、
このようにお客様番号入力画面へと遷移しますが、これも当然偽物です。
「お客さまの安全確保のための措置を行っております」というゆうちょ銀行からのメールはフィッシング詐欺
「お客さまの安全確保のための措置を行っております」というゆうちょ銀行からのメールはフィッシング詐欺です。
このメールはゆうちょ銀行からのメールを偽装しており、香港のIPから送信されている偽物です。
またリンクの誘導先も香港のサーバーで運営されている偽のフィッシングサイトです。
ドメインは中国国内で取得されており、運用サーバーが香港にあるという形になっています。
くれぐれもお客様番号や個人情報などを入力しないよう、ご注意ください。
関連記事
カテゴリ:フィッシング
タグ:スパムメール,フィッシング詐欺,ゆうちょダイレクト,ゆうちょ銀行
関連記事
人気記事
