「被災地の子どもたちの教育に寄付で支援｜認定NPO法人カタリバ」というフィッシング詐欺メールを解析

公開日:2020/2/10

「被災地の子どもたちの教育に寄付で支援｜認定NPO法人カタリバ」というフィッシング詐欺メールが発生しています。

認定NPO法人カタリバも、公式サイトで警戒を呼び掛けています。

実際のメールを解析してみます。

■□■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□■　　donation katariba 2/10/2020
本メールはドメインの運用（メール送受信やホームページの表示）に関わる
　重要な通知となります。
■　━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　∴‥∵‥∴‥∵‥∴‥∴‥∵‥∴‥∵‥∴‥∴‥∵‥∴‥∵‥∴‥∴‥∵‥∴

という書き出しで始まります。

WWF Japanを騙ったフィッシング詐欺メールとほぼ同一のフォーマットとなっています。

送信元のFromは、

From: "衆安商会" <pk@thefrontfenders.com>

1	From: "衆安商会" <pk@thefrontfenders.com>

Return-Pathは、

Return-Path: <pk@thefrontfenders.com>

1	Return-Path: <pk@thefrontfenders.com>

となっています。

Received: from thefrontfenders.com (unknown [117.50.40.188])

1	Received: from thefrontfenders.com (unknown [117.50.40.188])

となっており、ドメインはthefrontfenders[.]comで間違いなさそうです。

Whoisを見ると、

   Domain Name: THEFRONTFENDERS.COM
   Registry Domain ID: 2270761459_DOMAIN_COM-VRSN
   Registrar WHOIS Server: whois.discount-domain.com
   Registrar URL: http://gmo.jp
   Updated Date: 2019-09-30T11:14:32Z
   Creation Date: 2018-06-02T18:25:46Z
   Registry Expiry Date: 2020-06-02T18:25:46Z
   Registrar: GMO Internet, Inc. d/b/a Onamae.com
   Registrar IANA ID: 49
   Registrar Abuse Contact Email: abuse@gmo.jp
   Registrar Abuse Contact Phone: +81.337709199
   Domain Status: ok https://icann.org/epp#ok
   Name Server: NS1.C029JP9176.INFO
   Name Server: NS2.C029JP9176.INFO
   DNSSEC: unsigned
   URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/

Domain Name: THEFRONTFENDERS.COM

Registry Domain ID: 2270761459_DOMAIN_COM-VRSN

Registrar WHOIS Server: whois.discount-domain.com

Registrar URL: http://gmo.jp

Updated Date: 2019-09-30T11:14:32Z

Creation Date: 2018-06-02T18:25:46Z

Registry Expiry Date: 2020-06-02T18:25:46Z

Registrar: GMO Internet, Inc. d/b/a Onamae.com

Registrar IANA ID: 49

Registrar Abuse Contact Email: abuse@gmo.jp

Registrar Abuse Contact Phone: +81.337709199

Domain Status: ok https://icann.org/epp#ok

Name Server: NS1.C029JP9176.INFO

Name Server: NS2.C029JP9176.INFO

DNSSEC: unsigned

URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/

となっており、レジストラは日本のお名前.comであることが分かりました。

IPアドレスからも調べてみます。

person:         Jinhui Jia
e-mail:         jacky.jia@uclud.cn
address:        510,SOHO B,Zhongguancun,Haidian, Beijing
phone:          +86-13811069300
country:        CN　　　→　（中国）
mnt-by:         MAINT-CNNIC-AP
nic-hdl:        JJ2197-AP
last-modified:  2017-06-20T10:16:01Z
source:         APNIC

person: Jinhui Jia

e-mail: jacky.jia@uclud.cn

address: 510,SOHO B,Zhongguancun,Haidian, Beijing

phone: +86-13811069300

country: CN　　　→　（中国）

mnt-by: MAINT-CNNIC-AP

nic-hdl: JJ2197-AP

last-modified: 2017-06-20T10:16:01Z

source: APNIC

送信元サーバーは中国のようです。

誘導されるリンク先は

https://fdjerijdsf[.]com/search/index03.html#section03

1	https://fdjerijdsf[.]com/search/index03.html#section03

となっており送信元ドメインとは異なります。

このドメインのWhois情報は

Domain Name: FDJERIJDSF.COM
Registry Domain ID: 2437316128_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.godaddy.com
Registrar URL: http://www.godaddy.com
Updated Date: 2020-02-09T11:55:28Z
Creation Date: 2019-09-26T01:20:06Z
Registry Expiry Date: 2020-09-26T01:20:06Z
Registrar: GoDaddy.com, LLC
Registrar IANA ID: 146
Registrar Abuse Contact Email: abuse@godaddy.com

Domain Name: FDJERIJDSF.COM

Registry Domain ID: 2437316128_DOMAIN_COM-VRSN

Registrar WHOIS Server: whois.godaddy.com

Registrar URL: http://www.godaddy.com

Updated Date: 2020-02-09T11:55:28Z

Creation Date: 2019-09-26T01:20:06Z

Registry Expiry Date: 2020-09-26T01:20:06Z

Registrar: GoDaddy.com, LLC

Registrar IANA ID: 146

Registrar Abuse Contact Email: abuse@godaddy.com

となっており、IPアドレスは104.24.96.225でした。

このIPアドレスは、Cloudflareのもので、これ以上追えません。

OrgName:        Cloudflare, Inc.
OrgId:          CLOUD14
Address:        101 Townsend Street
City:           San Francisco
StateProv:      CA
PostalCode:     94107
Country:        US　　　→　（アメリカ合衆国）
RegDate:        2010-07-09
Updated:        2019-09-25
Ref:            https://rdap.arin.net/registry/entity/CLOUD14

OrgName: Cloudflare, Inc.

OrgId: CLOUD14

Address: 101 Townsend Street

City: San Francisco

StateProv: CA

PostalCode: 94107

Country: US　　　→　（アメリカ合衆国）

RegDate: 2010-07-09

Updated: 2019-09-25

Ref: https://rdap.arin.net/registry/entity/CLOUD14

このメールが明確に詐欺だと分かるのは、そうした情報以外にフッターを見ることでもわかります。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
　katariba Japan (Roppongi)
　東京都港区三田1-4-28 三田国際ビル3階 ,03-3769-1717

　※本メールは送信専用です。
　お問い合わせは上のURLの、専用フォームよりお願いします。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
　「katariba Japan」に掲載されているすべての記事、
　文章等の無断転載を禁止します。
　著作権はWWFが所有している。
　Copyright katariba Co., Ltd. 2020
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 E202010242

となっており、katariba Japanとなっているものの「著作権はWWFが所有している。」と記載されており、先の「オーストラリアの火災で被害を受けた野生動物と自然環境のために」というWWF Japanを騙るフィッシング詐欺メールと同一部分が見て取れます。

また末尾のE202010242という数字も同一であり、同一のグループとみられると同時にフィッシング用の詐欺ページに誘導するタイプの同様の詐欺であることが分かります。

くれぐれも、偽サイトで個人情報などを送信しないようにしてください。

カテゴリ：スパム,フィッシング
タグ：NPO法人カタリバ

「被災地の子どもたちの教育に寄付で支援｜認定NPO法人カタリバ」というフィッシング詐欺メールを解析

関連記事

関連記事

人気記事

CCSIのサービス

無料ツール

「被災地の子どもたちの教育に寄付で支援｜認定NPO法人カタリバ」というフィッシング詐欺メールを解析

関連記事

関連記事

【楽天】RakutenIDのロックを解除するには、以下のリンクをクリックしてください。というメールがフィッシング詐欺かを検証する。

「高レベルの危険。アカウントがハッキングされました。すぐにパスワードを変更してください。」というメールの分析

「アカウントの異常な状態と解決手順について。」というメールがフィッシング詐欺か検証する【Apple】

至急、S M B Cカード会員サービスに修正情報を再登録してくださいというメールがフィッシング詐欺か検証する

「【重要】三井住友カード株式会社から緊急のご連絡」三井住友カードを騙るフィッシング詐欺が発生

人気記事

CCSIのサービス

無料ツール