一見詐欺とは判断できなかった詐欺メール
- (2022-07-23 09:18:45)
怪しいメール
こんなメールが来た:
ヨドバシドットコム:「お客様情報」パスワード変更の連絡 <admin@yodobashi.com>
ヨドバシドットコムさんにはアカウントを持っているので、一瞬「あれ?」と思い内容を読んだが、同時に怪しいとも感じた。
偽装された「Return-Path:」
怪しいメールはおおむねヘッダ情報の「Return-Path:」が当事者でないメアドになっているが、今回は「<info@yodobashi.com>」、当事者である。
「From:」も「From: "yodobashi.com"<admin@yodobashi.com>」と当事者を示しており、これは「わかりにくい」と感じた。
下記はヘッダの一部:
---------------
Return-Path:<info@yodobashi.com>
Received: from ○○○・・・
Received: from ○○○・・・
Received: from ○○○ (localhost [127.0.0.1])
Received: from 127.0.0.1 (127.0.0.1)
Received: from yodobashi.com (unknown [117.50.187.172])
From: "yodobashi.com"<admin@yodobashi.com>
---------------
送信サーバのIPアドレスで調査
「117.50.187.172」からメールの送信がはじまり、あとは国内のISPのメールサーバを何台か転送されて、私のメールアカウントに届いた感じの記録となっていた。
「117.50.187.172」のIPアドレスを CMAN で調査すると
「Shanghai UCloud Information Technology Company Limited」とでていたので、中国から送信されてきた可能性が高い。
ヨドバシドットコムが中国からメールを送ってくるとは考えにくいので、やはり、これも詐欺メールの可能性が高いと判断しメールに記載されていたURLは踏まないよう注意した。
攻撃者のレベルが絶え間なく上がる
今回は送信開始元サーバーの「IPアドレス」で中国由来メールと判断したが、たとえば、攻撃者が日本国内から送信したように偽装したら、さらに見分けにくい。
しかも偽装する手法は簡単である(ここには書かないが)。
攻撃者の攻撃レベルは絶え間なく上がる。
<< PC交換で「BizStation」の証明書再取得< | >Gmail、なりすまし警告バナー問題 >>