今回到着したメール

今回の詐称メールは前回と異なり、かなり巧妙に作成されています。

• 差出人が実際の通知メールと同一(恐らくアドレス偽装)
• 件名も本物の通知メールと同一
• 一見すると何も問題ない宅急便通知メール

油断するとIT関連に精通したユーザーさんも引っかかりそうなレベルで、日常的にAmazonや楽天で買い物をしている人であれば簡単に騙されるパターンです。*3
但し、詰めが甘い部分もあり、以下の点に注意すれば「これは怪しいメールだ！」と気付けます。

• 何故か「CC:」で別人と思われるメールアドレスが指定されている。
  • 「CC:」とは同報メール、詳細の解説は記事の趣旨と離れるので簡単に説明すると、他の人にも同じメールを送りたい場合に利用するオプションで、通常宅急便の通知を行う場合にはまず指定しないオプション
• 商品名欄が「************」と表示されていない
• ご依頼主欄が空白、誰が送ったかが記載されていない
• 伝票番号が記載されているにも関わらず謎の添付ファイル(zipファイル)が付属している

ちなみに、本物のヤマト運輸からの通知メールはこんな文面になります。(アドレスや名前欄、その他必要な箇所をモザイク処理済み、本物のメールは2016年5月くらいに依頼したお財布の修理完了時に受領したメールです)

見比べると・・・更に偽装メールには無い情報が沢山あります。

• 配送状況確認・設定変更などの各種URL(アドレス)
• 問い合わせ先・登録情報変更案内情報

ただ、今回の場合はこのメールが届いてパッと見ただけでは・・・騙されてしまっても仕方ないレベルですね・・・。

メールのヘッダー情報

今回はメールのヘッダー情報(通常は隠されているが、メールがどこを経由して届いたか、ITに精通した人が見るとある程度何となく分かる情報)も確認してみました。

モザイク化されている部分は主に私の情報(及びメールアドレスの元ネタになってるプロバイダのOCN関連の情報)ですが、無慈悲にも(!?)そのままIPアドレスが掲載されている部分は恐らく送信元周りの情報です。
但し、この手の情報は幾らでも偽装可能なので参考情報程度にしかなりません。

しかし、どうやら以下の2つのIPアドレスが今回の偽装メールに関わっていそうです。

• 218.189.132.146
• 143.89.139.52
• 218.217.171.119

チョット、Google先生経由で調べてみましょう。

あっ・・・(察し)
残り1個はもう見なくても大体予想付くからどうでも良いよね？*4

お待ちかねのZIPファイルの中身

恐らく宅急便の伝票として扱いたかったんでしょうねぇ。ただ、偽装メールの本文に「添付ファイルを参照」とも書かれていませんし、それ以前の伝票番号をメール本文に書いちゃ添付ファイル見てもらえる可能性が低くなる気が・・・。
とりあえず、添付ファイルはPDFファイルを偽装したDOS/Windows実行ファイルで、確実にウイルスまたはランサムウェア、スパイウェアの類です。

無理矢理エディタでバイナリを見てみましたが、「This is program cannot be run in DOS mode」と書かれているので、PDFでは無いことは確実です。*5

面倒な世の中になったものですね・・・

単に本物のメールから一部をコピーしただけとは言え、少しずつ巧妙な手口になってきているので、たかがメールですが注意して行かないと簡単に騙されてしまうような状況になってる・・・ような気がします。

以前からの「怪しいメールはすぐに削除！」と言う鉄則も、何を持って「怪しい」と判断するかが難しくなってきたので、*6正直どうやって注意喚起的な気の利いたことを書けば良いのかが分からなくなってきましたが、今の御時世にメールに何らかの添付ファイルがある場合は、怪しいメールとして疑ったほうが良いのかもしれません。また、ベタな対応ですがウイルス対策製品付属の迷惑メールフィルタなどを利用して怪しげなメールはなるべく排除される環境を整えてウイルス感染やランサムウェアの被害などに合わないよう自衛して行きましょう・・・と言ったところですかね・・・。