|
|
検索
カテゴリ
以前の記事
その他のジャンル
ファン
記事ランキング
ブログジャンル
画像一覧
|
|
山田です。
スパムメールの解析料理15話目です。
今回は「UFJフィッシング」です。3月15日に私のIIJ4Uの個人アカウントにフィッシング詐欺メールが届きました。
解析料理の料理人は、私のマスコットが担当します。
彼の名前はスパァーム (Spaham) 君です。
「スパァーム君の紹介」
スパァーム君は、スパムメールが大嫌いです。何故なら、大好きなメル友のスパ子ちゃんのメールがスパムに埋もれてしまうからです。おまけに時々ウィルスメールにも感染し、寝込むこともありました。何と彼の1日のスパム数は軽く数百通を超えていたのです。そして数ヶ月間の猛勉強のおかげで、彼はスパムメールの解析ができるレベルに達したのです!
「解析料理:UFJフィッシング」
スパァームです。過去の解析料理法ご覧になっていただけましたか?ちょっとヘッダの解析が難しかったかもしれませんが、慣れればすぐにどこが送信元だか特定できるようになります。
さて、ASLさんのところに届いた「UFJフィッシング」を解析料理しちゃいましょう。
■ サーバを調査する
今回ASLさんに届いた電子メールはHTMLメールで、以下のような文章が含まれていました。
各リンクの上にマウスポインタを移動して、ブラウザのウィンドウ左下の「ステータスラインのリンク先」を確認します。そうすると
http://200.81.64.137/...
http://80.55.101.22/...
http://61.38.30.55/...
と、httpsのセキュアコネクションでなく httpで、IPアドレス表記のまったく異なるURLであることがわかります。この時点でフィッシング詐欺である事が判明します。リンクを右クリック(マックは control-クリック)して、ポップアップメニューの「リンクをクリップボードにコピー」を選択して、エディタにペーストしてURLを再確認して下さい。
気をつけなければいけないのは、むやみにリンクをクリックしない事です。クリックすればサーバのログに貴方のIPアドレスが記録されますし、場合によっては貴方の電子メールアドレスを特定できる情報がURLに含まれているかもしれません。例えば、
http://IP_ADDRESS/?id=xjdkfhjjsdfhjdfkajsf
のようなURLの場合、id=の後の文字列は貴方の電子メールアドレスを特定できる暗号化された情報です。電子メールアドレスを特定されると振り込め詐欺メールが毎日のように届く事があります。
どうしてもサーバにアクセスする必要がある場合は、?以降を切り取ったURLにアクセスすべきです。(サーバによっては、拒否される場合もあります)
今回は、?が含まれないURLでしたので、アクセスしてみました。カードの契約番号とパスワードを入力して、ログインさせようとしています。
さて、このサイトが本物なのか、偽物かをどのように見分ければ良いのでしょうか。慣れた人なら、この写真だけで「フィッシング」である事を見抜けます。右下にある鍵アイコンをご覧下さい。鍵がかかっていない状態である事がわかるでしょう。
これ以上深く追う必要はないでしょうが、もし鍵アイコンがかかっていたり、技術的に興味がある人は、以下の方法で詳細情報を得られます。
■ リンク一覧を見る
ここでは、Mozilla 1.7.5を使って、リンク一覧を見る事で「ログイン」ボタンを押すと、どこのサイトに情報を送るのかを確認します。
1. まず、Mozillaでフィッシングサイトにアクセス
2. 次に、余白部分をマウスで右ボタンをクリック(マックの場合は、control-クリック)して、ポップアップメニューの一番下の「View Page Info」を選択
3. 写真右のダイアログが表示されるので「Links」タブをクリック
4. リンク一覧の「ログイン」ボタンの URLを確認
(「送信」ボタンを押すとURL先に情報が送信される)
5. URLが www.ufjbank.co.jpではなく、80.55.101.22...になっているのが確認できる(情報はフィッシング業者に送られる!)
上記の方法で、簡単にフィッシングサイトであるかどうかが確認できます。
■ サーバのIPを調査する
http://samspade.org/ にアクセスして IPアドレスを「Do Stuff」ボタンの左のフィールドに入力して、ボタンをクリックします。
Server Used: [ whois.ripe.net ]
80.55.101.22 = [ sx22.internetdsl.tpnet.pl ]
2番目のIPのサーバは、ポーランド (.pl)にあることがわかりました。1番目のIPは、パラグアイ、2番目のIPは韓国でした。国名を調べるにはRoot-Zone Whois Informationを参照して下さい。
フィッシングメールの話題がインターネットニュースに掲載されていないか、定期的にチェックされる事をお勧めします。
■ 電子メールのヘッダを調査する
このフィッシングメールがどこから発信されたか調べてみましょう。
%%%%%: ASLの IIJ4U ID
X-UIDL: 1110847325.14616.99e7ea98297b026
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path:
Received: from mdi03.iij4u.or.jp (mdi03.iij4u.or.jp [210.130.0.161])
by m-ss.iij4u.or.jp (8.8.8/PM01) with ESMTP id JAA14614
for <%%%%%@ss.iij4u.or.jp>; Tue, 15 Mar 2005 09:42:05 +0900 (JST)
Received: MDI(mdi03) id j2F0g40R025713; Tue, 15 Mar 2005 09:42:04 +0900 (JST)
Received: MI(mi13) from 222.166.24.172 (cm222-166-24-172.hkcable.com.hk [222.166.24.172])
for <%%%%%@ss.iij4u.or.jp> id j2F0fsTT093851; Tue, 15 Mar 2005 09:41:58 +0900 (JST)
Message-ID: <20050319235.24687.qmail@ufjbank.co.jp>
Date: Tue, 15 Mar 2005 00:54:33 +0000
From: "Verify"
Subject: UFJ
To: <%%%%%@ss.iij4u.or.jp>
MIME-Version: 1.0
Content-Type: text/html; charset=Shift_JIS
最後の Received:ヘッダにご注目下さい。
Received: MI(mi13) from 222.166.24.172 (cm222-166-24-172.hkcable.com.hk [222.166.24.172])
for <%%%%%@ss.iij4u.or.jp> id j2F0fsTT093851; Tue, 15 Mar 2005 09:41:58
DNSが cm222-166-24-172.hkcable.com.hk 香港のケーブルTV会社のIPアドレス 222.166.24.172から発信された事がわかりました。
-
これで、ASLさんのところに届いたフィッシングメールを解析料理しちゃいました。皆さんもフィッシングメールに騙されないよう気をつけて下さいね。
スパァームより
--
今回のスパァーム君の解析料理はいかがでしたか?
では、次回の彼の活躍をお楽しみに。
hiroo
--
UFJ銀行のアナウンス
CNET: UFJ銀行とみずほ銀行をかたるフィッシングメールが発生
mixi「スパムメール料理法」コミュニティ
|
|
|