≪詐欺メールの発信方法≫

最近、詐欺メールを分析していくつか結論したので記事にする。



詐欺メールは、アマゾンなどのユーザーアカウントに絡んだメールのように見せかている。

メールには、偽のリンク先を入れたり、添付ファイルをつけたり、転送の際に文字化けするような小細工もしている。


◆詐欺メールはメールアドレス情報をどこかで受け取っている


詐欺メールが来るようになったのは、アマゾンで中国の売り手からの商品を購入するようになってから。

したがって、中国の売り手が詐欺メールを送る犯罪組織にメール情報を売り込んで金儲けしていると考えられる。


◆詐欺メールの送信方法


詐欺メールを送信する犯罪組織は、その居場所から送信せず、第三国から送信する。

詐欺メール犯罪組織が利用している第三国は、日本を含め各国にまたがっている。

詐欺メール犯罪集団は、第三国に詐欺メールを送る拠点を作り、そこから詐欺メールを送信する。


◆メールヘッダーからわかる詐欺メールの発信拠点


メールヘッダーを見れば、詐欺メール集団が第三国に拠点を作っていることがわかる。

その拠点のひとつには、クラウドサービスをしているプロバイダーに拠点の居場所を作っているようである。

例えば、詐欺メール犯罪組織は、アマゾンのクラウドを使ってメールを送信する。（実際、アマゾンクラウドからメールを送ってきたまともな業者もあるから普通のことのようだ）


詐欺メールの送信拠点では、アマゾンなどのクラウドサービスに加入して送信に使っている人物の居場所・端末は、普通のスマホユーザーとかパソコンユーザーと同じである。

つまり、詐欺メールを送信する人間は、自分のいる場所のスマホやパソコンからメールを送信していることになる。（その場所はどこでも同じというわけではない。たいてい中国だからメールの表示名の時間帯は、+800になる）


詐欺メール犯罪組織が送信したメールは、詐欺メールを受け取るメールアドレスが所属するメールサーバーから自分のメールアドレスに受信することになる。


自分のパソコンメールアドレスにやってくる詐欺メールは、自分のメールアドレスがプロバイダーからもらったものだから、プロバイダーのメールサーバーに詐欺メールが受信されて、自分のメールアドレスで受信することになる。


◆日本に在籍？しているクラウドサービスから詐欺メールが発信されている！


以前、カゴヤから詐欺メールが送信されていた。最近見ないな？
『≪詐欺メール≫「【重要】Evernoteアカウントの自動退会処理について。」』
2022年06月22日
 

『≪詐欺メール≫「【重要】Evernoteアカウントの自動退会処理について。」』≪詐欺メール≫「【重要】Evernoteアカウントの自動退会処理について。」詐欺メールの発信元を調べてみた。詐欺メールについての情報は、『詐欺メール相談センタ…ameblo.jp

詐欺集団が使うメールサーバーは、臨時的な作り物であり、以下のメールサーバー名のように、アマゾンを語る詐欺メールは、アマゾンの名称のメールサーバー名をつけている。

【Received: from source:[43.153.179.6] helo:Amazon.co.jp】

【helo:Amazon.co.jp】・・・これがいわゆるメール送信サーバー名である。heloと言っているのは、詐欺メールを最初に受信したメールサーバーである。


IPアドレスを調べると日本なのだが、IPアドレスが割り当てられているところは、【43.153.128.0 - 43.153.255.255  日本　Tencent Cloud　Tencent Japan合同会社である。】結構たくさんのIPアドレスが割り当てられているのがわかる。

そのサイトがある。
https://tencentjapan.com/

住所も電話番号もないのだが、怪しい。

「会社情報

会社名
    Tencent Japan合同会社
代表者
    Juno Shin
設立
    2011年11月8日
事業規模の紹介
ゲーム、クラウドサービス、ウィーチャット関連」

詐欺集団の片棒を担いでいる。



◆43.153.179.6をポートスキャンしてみたら・・・・

オープンポート・・・TCP ports (5) 21,135,139,445,3389

さらに別のスキャンで次のようなことがわかる。

NetBIOS Name: \\10_0_0_3・・・複数の端末をつないだローカルエリアの1台が詐欺メールの発信に使われているのがわかる。
Named Pipe: \PIPE\InitShutdown・・・これは、名前の一つだろう。


どうやら、中国から43.153.179.6の端末にアクセスし、その端末をたぶん遠隔操作してメールを送信し、その送信をプロバイダーのメールサーバーが受信、そして、私のパソコンメールで受信。


中国から43.153.179.6の端末にアクセスして詐欺メールを送信する手口は、世界中利用できるところは利用している。

今までの詐欺メールの発信場所は、ロシアからだったり、アメリカからだったり、インド洋のモルジブからだったり、アフリカのどこかからだったりするわけである。


◆IPアドレスの所属自体が【ZZ】で表示されている詐欺メール


43.153.179.6は、実際には、管理がシンガポールなのだが、形式上国のコードが【ZZ】で表示されている。

ZZとは、【共同観測】だが、以下のサイトでよくわからない説明がある。
 

IPアドレスの国別(国コード)割当て状況（グローバルIPアドレス） -グローバルIPアドレスのうち5-RIR(AFRINIC, APNIC, ARIN ...www.ipvx.info

「「AfriNIC(afrinic)」では国コード「ZZ」のレコードが含まれています。ZZは「Historial and Legacy」という名称になっており「歴史と遺産」を示しています。その為、どこか一国を示している国コードではないものと思われます。」


国のコードZZでも、管理は特定の国の人間が管理していることに変わりない。


◆詐欺メールのIPアドレスの検索

IPアドレス43.153.179.6をAPNICで調べると次のように出てくる。

inetnum:    43.153.128.0 - 43.153.255.255
netname:    ACEVILLEPTELTD-SG
descr:    6 COLLYER QUAY
country:    JP
admin-c:    APA7-AP


●admin-c:    APA7-APのリンク先の情報は、

address:    16 COLLYER QUAY, #18-29, INCOME AT RAFFLES, SINGAPORE
country:    SG・・・シンガポール
e-mail:    qcloud_net_duty@tencent.com

メールアドレスを調べると109.244.194.121のIPアドレスだとわかる。その所属は・・・・

inetnum:    109.244.0.0 - 109.244.255.255
country:    CN・・・・中国！これでつながったわけである。

これで中国から詐欺メール犯罪組織が伝手を頼って詐欺メールを送信していることがわかる。


◆詐欺メールは、アマゾンで売り手となっている中国などの販売者からメールアドレスが横流しされている

これは、アマゾンが中国の売り手にユーザー登録したメールアドレスを横流しするから可能だと考えられる。アマゾンの日本法人は、中国人が多く入っているから詐欺メール犯罪組織の息がかかった従業員がいても何もおかしくない。


これを結論するのは、アマゾンで中国の売り手から商品を購入し、その後その売り手にクレームを入れてから詐欺メールが来るようになったからである。その時は、マイクロソフトのwebメールアドレスに詐欺メールが初めてきた。

それからアマゾンの登録メールアドレスをパソコンのメールアドレスに変更したらパソコンのメールアドレスにも来るようになった。

明らかにアマゾンからメールアドレスが横流しされていると断言できる。


◆中国の詐欺メール犯罪組織が使う送信サーバーからのメールに対する受信サーバーの違い


ちなみに、ヤフーのwebメールアドレスには、詐欺メールは来ない。それは多分、ヤフーのサーバー管理が詐欺メールを送信してくる送信元のリストがあってそれで来ないと結論できる。

言い換えると、「プロバイダーのメールサーバー」とか「マイクロソフトのwebメールサーバー」は、送信元を疑わずにすんなりと受信してユーザーにメールを配信する。


◆詐欺メールの送信元は二つの時間帯である


前述したように、詐欺メールのヘッダーからわかることは、詐欺メールの送信元が第三国から詐欺メールを送信して「送信元を偽っている」ことだ。

そのため、詐欺メールを見ると送信元の時間帯が中国時間で表示され、ヘッダー情報を見ると送信元の時間帯が日本時間だったり、標準時間だったりするのである。

こうなるのは、中国にいる詐欺メール犯罪組織の人間が中国にいながら各国のクラウドサービスを経由してその端末を操作するからメールの送信元の時間帯は二つになるのである。


43.153.179.6からの詐欺メールの二つの時間帯がある。

●メールの表示名にある時間帯

Subject: お支払い方法の情報を更新
Date: Sun, 27 Nov 2022 11:44:36 +0800


●メールヘッダーの時間帯

Received: from source:[43.153.179.6] helo:Amazon.co.jp
Sun, 27 Nov 2022 12:44:41 +0900

ちなみに【Received】欄は、詐欺メールが最初にメールサーバーに受け取られたところを表している。このメールサーバーは、私のパソコンメールアドレスを付与したプロバイダーのサーバーである。（パソコンのメールアドレスは、プロバイダー加入契約時に貰い受けたからそのメールアドレスで受信する際は、プロバイダーのメールサーバーから受け取ることになる。）


◆詐欺メールを『迷惑メール相談センターに情報提供』しよう


迷惑メール相談センターでは、情報提供を求めている。

迷惑メール相談センター | デ協迷惑メール相談センターでは、総務省より委託を受けて、特定電子メール法に違反する迷惑メールに関するご相談や情報を受付けております。ご提供いただいた違反情報につきましては、総務大臣及び消費者庁長官による違反送信者への措置等に活用させていただきます。www.dekyo.or.jp

その方法は、詐欺メールを受信後、転送する。

ヘッダー情報をコピーし、転送メールに貼り付ける。

●送信の際のメーラーの警告表示は無視して送信

後は送信するだけだが、詐欺メールは、転送（送信）の際に文字バイト数が長いとか文字コードがどうのこうので文字化けするかもしれないなどと警告表示する傾向が多いが、かまわず送信すればよい。


メーラーの迷惑メール防止機能がどんなものか設定経験はないが、相手のメールアドレスで防止しようとしても無駄だといえる。

なぜなら、詐欺メールの表示名にある相手のメールアドレス名は、その都度変わるからである。（送信元が同じでも）


迷惑メールのアドレス登録に翻弄されるよりは、迷惑メール相談センターに情報提供したほうがずっといい。



============================
パケベックのハンドルネームで以下のブログをやっている。
コメントは、https://ameblo.jp/push-gci/のブログだけで対応することにした。
2019年10月10日。
ameba
https://ameblo.jp/push-gci/
fc2
http://keyhole276p3mhz.blog75.fc2.com/
livedoor
http://blog.livedoor.jp/push_gci/
ameba
https://ameblo.jp/papa-quebeck/
goo
http://blog.goo.ne.jp/push-gci
jugem
http://papa-quebeck.jugem.jp/
cocolog
http://papa-quebeck.cocolog-nifty.com/blog/
hatena
https://papaquebeck.hatenablog.com/
Twiter
https://twitter.com/Target_Quebeck
============================
ボンクラタワー 　ハンター9871  これよりマークシート開始
ボンクラータワー ハンター9871  上昇
ボンクラータワー ハンター9871  ポールが見えない
ボンクラータワー ハンター9871  ブリザードだ
ボンクラータワー ハンター9871  うぉぉぉぉぉぉぉ！
ハンター9871 ボンクラータワー  あっ！・・・・ハンターっ！
ボンクラータワー ハンター9981  墜落したぞ
ボンクラータワー ハンター9845  どうやって墜落したんだ？！
---------------------------------
AOR AR8200Mk3サーチ結果
43.30→札幌
43.40→札幌
44.45→札幌
46.975→札幌
231.4→札幌 mike18
235.2→札幌
240.2→札幌 atomkaiser19
247.85→札幌
256.85→札幌
257→札幌 11
258.25→札幌
276.3→札幌  IC-R3ss内部発信 ID-92内部発信 keyhole12
305.7→札幌管制
308→札幌
315.6→札幌 foxtrot
327.6→札幌 manual
337.4→札幌 u2（取材ヘリ・自衛隊・海保など）ヘッドワーク・機体間通信
354.2→札幌 sherra
365→札幌  パソコンノイズ電波 quebec
362.6→札幌八戸
388.9→札幌  パソコンノイズ電波 8