< | >

一見詐欺とは判断できなかった詐欺メール
  • (2022-07-23 09:18:45)

怪しいメール


こんなメールが来た:


ヨドバシドットコム:「お客様情報」パスワード変更の連絡 <admin@yodobashi.com>


ヨドバシドットコムさんにはアカウントを持っているので、一瞬「あれ?」と思い内容を読んだが、同時に怪しいとも感じた。


偽装された「Return-Path:」


怪しいメールはおおむねヘッダ情報の「Return-Path:」が当事者でないメアドになっているが、今回は「<info@yodobashi.com>」、当事者である。

「From:」も「From: "yodobashi.com"<admin@yodobashi.com>」と当事者を示しており、これは「わかりにくい」と感じた。

下記はヘッダの一部:
---------------
Return-Path:<info@yodobashi.com>
Received: from ○○○・・・
Received: from ○○○・・・
Received: from ○○○ (localhost [127.0.0.1])
Received: from 127.0.0.1 (127.0.0.1)
Received: from yodobashi.com (unknown [117.50.187.172])
From: "yodobashi.com"<admin@yodobashi.com>
---------------


送信サーバのIPアドレスで調査


「117.50.187.172」からメールの送信がはじまり、あとは国内のISPのメールサーバを何台か転送されて、私のメールアカウントに届いた感じの記録となっていた。

「117.50.187.172」のIPアドレスを CMAN で調査すると

「Shanghai UCloud Information Technology Company Limited」とでていたので、中国から送信されてきた可能性が高い。

ヨドバシドットコムが中国からメールを送ってくるとは考えにくいので、やはり、これも詐欺メールの可能性が高いと判断しメールに記載されていたURLは踏まないよう注意した。


攻撃者のレベルが絶え間なく上がる


今回は送信開始元サーバーの「IPアドレス」で中国由来メールと判断したが、たとえば、攻撃者が日本国内から送信したように偽装したら、さらに見分けにくい。

しかも偽装する手法は簡単である(ここには書かないが)。

攻撃者の攻撃レベルは絶え間なく上がる。


<< PC交換で「BizStation」の証明書再取得< | >Gmail、なりすまし警告バナー問題 >>
search
layout
admin

[▲page top]