【東京電カエナジーパートナー】カード情報更新のお知らせというメールがフィッシング詐欺か検証する

公開日:2022/6/2

【東京電カエナジーパートナー】カード情報更新のお知らせというメールがフィッシング詐欺か検証します。

カードの有効期限切れ等で、アカウントを更新できなかった、アカウントの確認をしてほしいといった内容です。

メール本文は以下の通り。

──────────────────────────────────

　

■□　【重要／くらしTEPCO web】カード情報更新のお知らせ　□■

──────────────────────────────────

—————————————————————–

残念ながら、あなたのアカウントを更新できませんでした。これは、カードが期限切れになったか。

請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。

今アカウントを確認できます。

—————————————————————–

登録URL

—————————————————————–

なお、24時間以内にご確認がない場合、誠に遺憾ながら、アカウントをロックさせていただくことを警告いたします

パスワードを変更した覚えがない場合は、至急 03-6373-1111（までお電話ください。

—————————————————————–

まずはメールの送信元を調べてみます。

From: "東京電カエナジーパートナー" <amazong-account-updyatet@k2v0d11[.]cn>
Return-Path: <amazong-account-updyatet@k2v0d11[.]cn>

1 2	From: "東京電カエナジーパートナー" <amazong-account-updyatet@k2v0d11[.]cn> Return-Path: <amazong-account-updyatet@k2v0d11[.]cn>

送信者名は東京電力エナジーパートナー、送信元メールアドレスやReturn-Pathに用いられているメールアドレスのドメインはk2v0d11[.]cnです。

.cnですから、中国のドメインです。

whois情報は以下の通り。

Domain Name: k2v0d11[.]cn
ROID: 20210601s10001s36377951-cn
Domain Status: ok
Registrant: 冉杰
Registrant Contact Email: lujilu9@163.com
Sponsoring Registrar: 广州云讯信息科技有限公司
Name Server: jm1.dns.com
Name Server: jm2.dns.com
Registration Time: 2021-06-01 20:25:23
Expiration Time: 2023-06-01 20:25:23
DNSSEC: unsigned

Domain Name: k2v0d11[.]cn

ROID: 20210601s10001s36377951-cn

Domain Status: ok

Registrant: 冉杰

Registrant Contact Email: lujilu9@163.com

Sponsoring Registrar: 广州云讯信息科技有限公司

Name Server: jm1.dns.com

Name Server: jm2.dns.com

Registration Time: 2021-06-01 20:25:23

Expiration Time: 2023-06-01 20:25:23

DNSSEC: unsigned

次に送信元サーバーを調べてみます。

Received: from mail.k2v0d11[.]cn (unknown [113.250.61[.]151])

1	Received: from mail.k2v0d11[.]cn (unknown [113.250.61[.]151])

113.20.61[.]151というIPアドレスが出てきました。

これを調べてみると、

inetnum: 113.248.0.0 - 113.251.255.255
netname: CHINANET-CQ
descr: CHINANET Chongqing Province Network
descr: Data Communication Division
descr: China Telecom
country: CN
admin-c: CH93-AP
tech-c: CQ235-AP
abuse-c: AC1573-AP
status: ALLOCATED PORTABLE
remarks: service provider

inetnum: 113.248.0.0 - 113.251.255.255

netname: CHINANET-CQ

descr: CHINANET Chongqing Province Network

descr: Data Communication Division

descr: China Telecom

country: CN

admin-c: CH93-AP

tech-c: CQ235-AP

abuse-c: AC1573-AP

status: ALLOCATED PORTABLE

remarks: service provider

やはり中国国内のサーバーから送信されているようです。

次にメール本文中にあるリンクの遷移先を調べてみます。

ソースを確認してみると、

<A href="https://tqiabug4vd3[.]vip/">登録URL</A>

1	<A href="https://tqiabug4vd3[.]vip/">登録URL</A>

となっており、https://tqiabug4vd3[.]vip というURLに遷移することが分かります。

このドメインのwhois情報は、以下の通り。

Domain Name: tqiabug4vd3[.]vip
Registry Domain ID: DAF19F3EE6F6D462FBB99FBFF47CF8E44-GDREG
Registrar WHOIS Server: whois.gathernames.com
Registrar URL: https://www.gname.com/
Updated Date: 2022-05-31T13:45:09Z
Creation Date: 2022-05-31T13:43:08Z
Registry Expiry Date: 2023-05-31T13:43:08Z
Registrar: Gname.com Pte. Ltd.
Registrar IANA ID: 1923
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: addPeriod https://icann.org/epp#addPeriod
Registry Registrant ID: REDACTED FOR PRIVACY
Registrant Name: REDACTED FOR PRIVACY
Registrant Organization:
Registrant Street: REDACTED FOR PRIVACY
Registrant Street: REDACTED FOR PRIVACY
Registrant Street: REDACTED FOR PRIVACY
Registrant City: REDACTED FOR PRIVACY
Registrant State/Province: Hunan
Registrant Postal Code: REDACTED FOR PRIVACY
Registrant Country: CN
Registrant Phone: REDACTED FOR PRIVACY
Registrant Phone Ext: REDACTED FOR PRIVACY
Registrant Fax: REDACTED FOR PRIVACY
Registrant Fax Ext: REDACTED FOR PRIVACY
Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.

Domain Name: tqiabug4vd3[.]vip

Registry Domain ID: DAF19F3EE6F6D462FBB99FBFF47CF8E44-GDREG

Registrar WHOIS Server: whois.gathernames.com

Registrar URL: https://www.gname.com/

Updated Date: 2022-05-31T13:45:09Z

Creation Date: 2022-05-31T13:43:08Z

Registry Expiry Date: 2023-05-31T13:43:08Z

Registrar: Gname.com Pte. Ltd.

Registrar IANA ID: 1923

Registrar Abuse Contact Email:

Registrar Abuse Contact Phone:

Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited

Domain Status: addPeriod https://icann.org/epp#addPeriod

Registry Registrant ID: REDACTED FOR PRIVACY

Registrant Name: REDACTED FOR PRIVACY

Registrant Organization:

Registrant Street: REDACTED FOR PRIVACY

Registrant City: REDACTED FOR PRIVACY

Registrant State/Province: Hunan

Registrant Postal Code: REDACTED FOR PRIVACY

Registrant Country: CN

Registrant Phone: REDACTED FOR PRIVACY

Registrant Phone Ext: REDACTED FOR PRIVACY

Registrant Fax: REDACTED FOR PRIVACY

Registrant Fax Ext: REDACTED FOR PRIVACY

Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.

プライバシーサービスで隠されていますが、中国で登録されているようです。

安全を担保したうえで、実際にこのアドレスにアクセスしてみます。

すると、https://tqiabug4vd3[.]vip/ap/signin へリダイレクトし、東京電力のくらしTEPCO webの偽サイトが運用されていました。

IPアドレスは172.245.94[.]122、これを調べてみると、

NetRange: 172.245.0.0 - 172.245.255.255
CIDR: 172.245.0.0/16
NetName: CC-14
NetHandle: NET-172-245-0-0-1
Parent: NET172 (NET-172-0-0-0-0)
NetType: Direct Allocation
OriginAS: AS36352
Organization: ColoCrossing (VGS-9)
RegDate: 2013-04-22
Updated: 2013-04-22
Ref: https://rdap.arin.net/registry/ip/172.245.0.0

NetRange: 172.245.0.0 - 172.245.255.255

CIDR: 172.245.0.0/16

NetName: CC-14

NetHandle: NET-172-245-0-0-1

Parent: NET172 (NET-172-0-0-0-0)

NetType: Direct Allocation

OriginAS: AS36352

Organization: ColoCrossing (VGS-9)

RegDate: 2013-04-22

Updated: 2013-04-22

Ref: https://rdap.arin.net/registry/ip/172.245.0.0

米国のColorCrossingのホスティングサービスを利用しているようです。

ColorCrossingは、フィッシング詐欺サイトの遷移先として大変よく見かけるホスティングサービスです。

さて、このサイトは割と雑で、ファビコンの名称はapple.pngとなっています。

ソースコードを見に行くとファビコンはAmazonのものになっています。

完成度の高いものではありません。

【東京電カエナジーパートナー】カード情報更新のお知らせというメールはフィッシング詐欺

【東京電カエナジーパートナー】カード情報更新のお知らせというメールはフィッシング詐欺です。

このメールは東京電力エナジーパートナーという発信者名で来ますが、送信に使われているメールアドレスのドメインや、送信元サーバーは中国のものです。

また遷移先には東京電力のくらしTEPCO webの偽サイトがあり、これも米国のホスティングサービスを利用して運営されています。

明らかなフィッシング詐欺ですので、くれぐれも個人情報やアカウント情報、クレジットカード情報などを入力しないようご注意ください。

カテゴリ：フィッシング
タグ：スパムメール,フィッシング詐欺,東京電カエナジーパートナー

【東京電カエナジーパートナー】カード情報更新のお知らせというメールがフィッシング詐欺か検証する

【東京電カエナジーパートナー】カード情報更新のお知らせというメールはフィッシング詐欺

関連記事

関連記事

人気記事

CCSIのサービス

無料ツール

【東京電カエナジーパートナー】カード情報更新のお知らせというメールがフィッシング詐欺か検証する

【東京電カエナジーパートナー】カード情報更新のお知らせというメールはフィッシング詐欺

関連記事

関連記事

「このビデオはあなたです」「¿このビデオはいつですか？」といった絵文字付きfacebookスパムを調査する

「Amazon.co.jp ご注文の確認」というAmazonギフト券購入のメールは不正アクセスかフィッシング詐欺か

【アラートレポート】：私たちはあなたのアカウントを安全にしなければなりません。【ケース-ID 845KMS 】というメールがフィッシング詐欺か検証

「楽天安全センター」というフィッシング詐欺メールを解析する

「Аmazon に登録いただいたお客様に、Аmazonアカウントの情報更新をお届けします」というフィッシング詐欺メール

人気記事

CCSIのサービス

無料ツール