【ご注意下さい】billing@global.jcb 及びbilling@jcb.co.jpのアドレスを詐称した詐欺メール

※2018/9/13タイトル変更、スパムメール追記

－－－概要－－－－－－－－－－－－－

・正しいドメインをかたる詐欺メール（スパムメール）もあります。

・確実に心当たりがある場合以外は添付ファイル、リンクは開かないようにした方が良いです。

・金銭に絡む内容ならば尚更直ぐにファイル、リンクを開かずに冷静になって確認しましょう。

－－－－－－－－－－－－－－－－－－

運用担当の石川です。

 

運用の一部として毎日代表メールアドレスに届くメールの確認、整理を行っています。

監視やメールマガジン、その他色々なメールの宛先として使用しているため、一日百通以上（ほとんどはメールマガジン等ですが）も受信するため中々に大変です。

 

弊社はOffice365を使用しており、かなり高性能なメールフィルターのおかげでスパムメールはほとんど入ってきません。

ただ、それでも少しは怪しいメールも紛れ込んできます。

本日も一件スパムメールを発見したのですが、非常に分かりにくい上に引っかかると情報を盗まれる疑いがあったため、注意喚起のお知らせを掲載させて頂きます。

 

結論は概要にあるように「正しいドメインのメールアドレスを語るスパムもあるのですぐに添付ファイル、リンクを開かないようにしましょう」です。

以下、蛇足となります。

 

＜メール画像＞

＜注＞上記はJCB様とは全く関係のないスパムメールです。

 

代表アドレスには請求情報も多く届くのですが、私はこのメールをパッと見て違和感を感じました。皆さんはどう思われますか？

 

「最後の年号部分が2000ってなぜ？

日本の会社からのメールにしてはタイトルが「Case No.～～～」のみってちょっと失礼で不親切すぎないか。

global.jcbってそんなドメインあるの？（※これは正しいドメインでした。後述します。）

”請求エラーによりオンラインアクセスが中断される”って意味不明で日本語もちょっとおかしくないか？

なによりこのメール件名にそれっぽい番号が書いてあるくせに本文に具体的な内容が全くない。」

 

長年の癖で少しでも怪しいとおもったら、怪しくなくても金銭が絡むものはまず本物か確認をします。

 

偽物か確認するのに一番簡単なのはメールアドレス、ありがちなのが

・amazun.com（文字が一部違う。ばからしいけど実際にあります。）

・amazon-xxx.com（本物に文字を足して関連会社のようにみせかける）

というようなパターンですが、今回は「global.jcb」と上記２つとは違うようです。

 

そんなトップレベルドメインがあるのか？と調べたところ。。。

数年前より「ブランドTLD」という企業などが自社の名前をつけるトップレベルドメインが存在しており、global.jcbというドメインもありました。

.toyotaや.hondaなど超大手企業が数千万単位の導入費用と数百万単位の年間維持費をかけて使用するもののようです。縁がないので知りませんでした。不勉強を反省。。。

参考：＜JPNIC ＞ブランドTLDとは

https://www.nic.ad.jp/ja/basics/terms/brand-tld.html

 

話がそれましたが、今回のメールは存在する正しいドメインから送られてきたように見えるメールです。

ただし、メールアドレスは偽装可能なため、あくまでこの時点では正しいように見えるだけです。

 

メールアドレスの次はリンクを調べます。リンク部分の「アクティベート」にカーソルをのせます。

※同じことをする場合は間違って開かないように注意してください。

「miamidigitalart.comって何？完全にWordPressのパスだけど超大手企業で金銭が絡む内容なのにこんな杜撰なのってありえないでしょう。」

Googleで上記ドメインを検索すると、1件だけAppleと見せかけた詐欺メールで遷移させられたとのページがでてきました。

しかもつい最近（2018/8/15）の情報です。

【注意喚起】Appleから「セキュリティの問題が検出されました」というスパムメールが出回っている件について

恐らく上記の亜種なのでしょう。クリックしたら同じように情報の入力を求められるのかもしれません。

この時点でほぼ真っ黒ですが、メールヘッダも見てみます。

FromアドレスやReturn-Pathはglobal.jcbとなっており偽装されているようです。

以下のページにあるようにこれらは書き換えが可能なため、認証情報やRecievedの情報を確認します。

参考：偽装メールを見破れ！（前編）

 

赤枠の認証情報をみてみると、spf、dkim、dmarc（詳細は割愛しますがメールの身元保証のための項目と考えてください。）すべてnone。大企業で金銭を扱う内容なのにありえません。

青枠の最初のRecieved（一番最初にメールを送信したサーバーの情報）をみてみると、最初にメールを送った（受け取った）サーバーのIP”41.79.79.196”が見えます。

こちらは確認したところ南アフリカに割り当てられたグローバルIPアドレスのようでした。

また、by以下より「WIN-3P267D0L6BR」というパソコン（またはサーバー）のMicrosoftSMTPサービスよりこのメールが送られていることがわかります。

※fromのIPの次の()内のIPがループバックアドレスになっており、ローカルのSMTPサービスに向けてメールを送信したものと伺えます。

 

つまり、このメールは「メールの身元保証を何もつけずに、南アフリカにあるWindowsパソコン（サーバー）上のSMTPサービスから送られた」ものと見て取れます。

他にも怪しいところはありますが、この時点で詐欺メールだと見切りをつけ確認を終了しました。

 

今回、ぱっと見おかしいと思い確認しましたが、慣れていない人だと何も考えずにリンクをクリックしてしまうかもしれません。

 

怪しい、怪しくないに関わらずメールの添付ファイルやリンクはすぐにクリックせずに一度冷静になって確認することを強くお勧めします。

特にサービス停止、アカウント停止など、継続性の危機感を煽るものや金銭に関わる不安を煽るようなものほど焦らず確認してみてください。

 

最近は翻訳の進化のせい？もあり大分普通の日本語に近づいている気がしますが、やはり”文章がどことなくおかしい”ということが一番わかりやすい点かもしれません。

 

「そんなのわからないし調べられないよ！」という方は是非弊社のような中小企業様向けITサービスなどもご活用ください。

 

－－－2018/9/13

昨日Appleを語ったメールの注意喚起を追加したばかりですが今度はまたjcbを語ったメールを受信してしまいました。

 

今回は「billing@jcb.co.jp」を偽装した「www.cristinarebull.com」へのリンクを含んだメールでした。

スパムメールを受信した際に画像を自動でダウンロードしないように設定されている場合は画像のダウンロードもやめておいた方が良いです。

送信元はやはり南アフリカのWindowsのSMTPサービスでした。しつこいですね。

同じ組織からのフィッシングなのかなと推測されます。

 

皆様も間違ってもクリックされないようお気を付けください。

 

 

←「【AIアート】PortillaとSimoncelliのテクスチャ合成のPythonコードを公開しました。 A Parametric Texture Model based on Joint Statistics of Complex Wavelet Coeffcients」前の記事へ　 　次の記事へ「【ご注意下さい】Apple – JCB　appleid@id.apple.com　のアドレスを詐称した詐欺メール」→