Your card has been suspended !というMUFG(三菱UFJ銀行)を騙るフィッシング詐欺メールを調査する
Movable Type 4.0 以降の脆弱性、改ざん被害多数発生中
自衛隊 大規模接種センターの概要 予約サイト案内(予約・受付案内)というフィッシング詐欺メールの分析
公開日:
自衛隊 大規模接種センターの概要 予約サイト案内(予約・受付案内)というフィッシング詐欺メールが多数見受けられます。
自衛隊大規模接種センターの予約を促すメールです。
本文は以下の通り。
自衛隊大規模接種センターの予約については、下記注意事項をご覧頂き、
ページ下部に記載のWeb予約サイト、LINEまたは、専用お問い合わせ・予約窓口(電話)により、予約を行ってください。
■予約サイトへ
■お問い合わせ・予約窓口
──────────────────────────────────
予約に関するお願い
自衛隊大規模接種センターでは、原則として、接種券(原本)をお持ちいただいていない場合、ワクチンの接種はできません。接種券がお手元に届いてからご予約いただき、当日、接種券(原本)を必ずお持ち下さい。
──────────────────────────────────
■自衛隊 東京大規模接種センター専用
お問い合わせ・予約窓口
開設時間:07時00分~21時00分(毎日)
お電話のおかけ間違いにご注意ください。
一般:0570-056-730
English:0570-056-750
副反応:0570-056-760
※問い合わせのみ
Copyright © Ministry of Health, Labour and Welfare, All Rights reserved.
無断転載および再配布を禁じます。
まずはメールの送信元を調べてみます。
|
1 2 |
From: "自衛隊大規模接種センター" <info@vaccine.mrso.jp> Return-Path: <mqsoqo@info.vc-osaka.liny.jp> |
送信者名は自衛隊大規模接種センターとなっていますが、送信元メールアドレスはinfo@vaccine.mrso[.]jp、Return-Pathはmqsoqo@info.vc-osaka.liny.jpと異なっています。
vaccine.mrso[.]jpはmrso[.]jpのサブドメインですが、これは実在する日本の会社のもので、新型コロナワクチン接種WEB予約システムなどを取り扱っています。
vc-osaka.liny[.]jpはliny[.]jpのサブドメインですが、こちらも実在する国内の企業のものです。
そこで、実際の送信元サーバーをあたってみます。
|
1 |
Received: from info.vc-osaka.liny.jp (unknown [116.85.16[.]250]) |
116.85.16[.]250というIPアドレスが出てきました。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
inetnum: 116.85.0.0 - 116.85.255.255 netname: XJKJ descr: Beijing Xiaoju Technology Co., Ltd descr: Beiqu 2, Floor 5, Building 1, No 9 Shangdi East Road descr: Haidian District, Beijing, China country: CN admin-c: ZM1669-AP tech-c: ZM1669-AP abuse-c: AC1601-AP status: ALLOCATED PORTABLE mnt-by: MAINT-CNNIC-AP mnt-lower: MAINT-CNNIC-AP mnt-irt: IRT-CNNIC-CN last-modified: 2021-06-16T01:27:22Z source: APNIC |
このIPアドレスを調べてみると、中国、北京のサーバーのIPアドレスのようです。
これは不自然です。
次に、リンクの遷移先、つまり誘導先のサイトについても調べてみます。
メールのソースをbase64でデコードします。
すると、
|
1 |
<a href="https://www.v-cysakena[.]com/"><font size=3>お問い合わせ・予約窓口</font></a> |
となっており、v-cysakena[.]comというサイトに遷移することが分かります。
このドメインのwhois情報を見てみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
Domain Name: V-CYSAKENA.COM Registry Domain ID: 2637068040_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.webnic.cc Registrar URL: http://www.webnic.cc Updated Date: 2021-08-28T17:11:52Z Creation Date: 2021-08-28T17:11:52Z Registry Expiry Date: 2022-08-28T17:11:52Z Registrar: Web Commerce Communications Limited dba WebNic.cc Registrar IANA ID: 460 Registrar Abuse Contact Email: removed email address Registrar Abuse Contact Phone: removed phone number Domain Status: ok https://icann.org/epp#ok Name Server: NS1.HNDNSV1.COM Name Server: NS2.HNDNSV1.COM DNSSEC: unsigned URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/ >>> Last update of whois database: 2021-08-30T08:25:42Z <<< |
となり、すでに消えてしまっていることが分かります。
IPアドレスを確認してみると、155.235.250[.]141、香港でホスティングされていたようです。
さて、同じメール文面で他のドメインを用いたものがあります。
|
1 |
<a href="https://www.v-cysakaos[.]com/">お問い合わせ・予約窓口</a> |
こちらはまだ生きています。
またwhois情報がないのですが、IPアドレスは155.235.250[.]82です。
このIPアドレスは過去にもクレジットカードのフィッシング詐欺で使われていたものです。
安全を担保して誘導先のサイトを確認してみます。
すると、
このように、厚生労働省の偽サイトが運用されていました。
また接種会場を探すというメニューのみが生きており、これをクリックすると
右のように、個人情報の入力欄が現れます。
しかしながら、正規のサイトでは
このように地域名の選択画面となり、個人情報入力から始まりません(正規サイトURL:https://v-sys.mhlw.go.jp/search/)。
つまり、このメールに記載されている、リンクされている予約サイトは正規サイトとは異なる偽のサイトです。
また個人情報入力画面で入力すると、
このようにクレジットカード予約と題してクレジットカード情報の入力を求めてきます。
ここでクレジットカード情報を入力すると、正規の厚生労働省のページ、地域選択のページへと遷移します。
自衛隊 大規模接種センターの概要 予約サイト案内(予約・受付案内)というメールはフィッシング詐欺
自衛隊 大規模接種センターの概要 予約サイト案内(予約・受付案内)というメールはフィッシング詐欺です。
本来すぐに地域選択となるものを、個人情報とクレジットカード情報の窃取画面を持った偽サイトに誘導します。
窃取後は正規の厚生労働省の地域選択ページとなるため、分かりにくい仕組みとなっていますが、そもそもクレジットカード情報は接種予約に必要ではありません。
くれぐれも誤って入力することがないようご注意ください。
関連記事
カテゴリ:フィッシング
タグ:スパムメール,フィッシング詐欺,大規模接種センター,自衛隊
関連記事
人気記事
