【詐欺メール対策】≪詐欺メールの発信元≫No9

≪詐欺メールの発信元≫No9

詐欺メールが来るようになったメールアドレスは、半永久的やってくる。

詐欺メールが来るようになった原因は、アマゾンに出品している中国人（個人事業）が発送販売する商品を購入したため。

アマゾンに出品している中国人は、メールアドレスを転売して金を稼いでいる。メールアドレスは、アマゾンから個人事業の中国人に流されたことを示す。

アマゾンの登録メールアドレスは、プロバイダーからもらったメールアドレスや主要なwebメールアドレスを登録しない方が無難である。

アマゾンの登録メールアドレスの推奨は、ヤフーメール。

Gmailは知らない。

◆詐欺メール対策ーーー設定後の状況

以下のページで加入先のプロバイダーのメールの拒否設定を行った。

送信元のIPアドレスからプロバイダーを割り出し、ポートスキャンをかけて怪しいところを割り出し、TCP flood攻撃などを行ってみた。その手のプロバイダーのIPアドレスには、ホスト名が不明のサイトを開設しているところが多数あったりする。（悪意ある第三者が野放しになっている根本原因は、プロバイダーにあるという意味でもある。）

まだ1か月も経過していないが、特定プロバイダーのIPv6の送信元の詐欺メールが来なくなった。ーーー自分のメーラーに受信しないという意味。（プロバイダーのwebメールにログインしてみたが、迷惑メールに何もなかった）

『詐欺メール対策（PLALAプロバイダーメール）』

『詐欺メール対策（PLALAプロバイダーメール）』詐欺メール対策（PLALAプロバイダーメール）プララ、今はドコモだが、プロバイダーのメールについて拒否設定の作成が可能らしい（本当に正しい設定かどうか、まだよ…

ameblo.jp

設定画面は、自己流のもの。

◆中国人の詐欺メールの送信元

詐欺メールは、中国から各国のクラウドなどにログインして詐欺メールを送信する。日本の一部のクラウドも利用されている。

中国の詐欺メール送信者が利用するプロバイダーは、中国の【China Telecom】【中国China Unicom】【China Mobile】【中国Huawei Cloud】。

中国人が利用する海外サーバーで多いのが【アメリカBaxet Group】【アメリカKamatera Inc】【アメリカCgi Global Limited】【アメリカColoCrossing】など。

中国人が利用する送信元には、在日の中華系プロバイダーがある。【在日Tencent 】【在日Ucloud Information Technology Hk Limited】。

詐欺メールを送信する奴は、スマホやパソコンのネット端末を使い、クラウドなどにログインしたり、データをアップロードしたり（FTP、tcp22）、リモートデスクトップで遠隔操作で送信する（tcp3389）。

それゆえ、詐欺メール送信者が利用しているプロバイダーをポートスキャンすると多くのIPアドレスに

TCP22（FTPファイルアップロード）,

TCP3389（リモートデスクトップ）,

TCP80（詐欺サイト）,

TCP443（詐欺サイト）

等のポートがオープンになっている。

つまり、詐欺メールの送信者は、自分の端末がばれることなく、匿名で詐欺メールを送信できることになる。

要は、プロバイダーが詐欺メールの送信手段に使われているところを監視できないか、監視するつもりが全くないために、クラウドなどのプロバイダーが詐欺メールの温床となっていることを示す。

◆webメールの状況

なお、webメールを運営しているマイクロソフトなどのwebメールは、詐欺メールの収集をしているから詐欺メール情報を報告したほうが世の中のためになる。ーーーここ最近、5月6月から詐欺メールが減少している。

現在、マイクロソフトのものは、以前よりも詐欺メール報告に手間がかかるようになっている。以下がその画面。以前はその項目が単独でバーに表示されていたが。

ヤフーのwebメールには、詐欺メールが来ないが、マイクロソフトのwebメールには、迷惑メールに分類される詐欺メールが来る。

=====詐欺メールの情報提供=====

詐欺メールは、以下のサイトを参考にメールヘッダーをコピーして転送、情報提供したほうがいい。

詐欺メールは、以下のサイトのメールに「メール転送」することを勧める。転送するものは、メールヘッダー。

情報提供先メールアドレス　meiwaku@dekyo.or.jp　

転送方法は以下を参照。

『迷惑メール相談センター　情報提供のお願い』

情報提供のお願い | 迷惑メール相談センター迷惑メール相談センターでは、総務省より委託を受けて、特定電子メール法に違反する迷惑メールに関するご相談や情報を受付けております。ご提供いただいた違反情報につきましては、総務大臣及び消費者庁長官による違反送信者への措置等に活用させていただきます。

www.dekyo.or.jp

◆◆◆詐欺メールの発信に利用されている日本の企業◆◆◆

ここ最近、株式会社IDCフロンティアからの詐欺メールが来なくなった。

●株式会社IDCフロンティア
https://www.idcf.jp/company/about/company_profile.html

株主ソフトバンク株式会社100%
「クラウドコンピューティングおよびストレージサービスを提供」

こんな企業は、詐欺メールの発信場所の提供でユーザー数を確保しているのである。

======パソコンメールにやって来る詐欺メール=======

●掲載項目は、【Subject】【Date】【Received】のほか、ポートスキャナーで調べた結果のオープンポート、送信元・中継元のIPアドレスと所属プロバイダー。

★リンク先無、文字化けデタラメ文章
Received: from source:[223.244.33.165]【22】【China Telecom】helo:mail.dsf.llopki.com
Subject: 「新幹線eチケットサービス」えきねっとアカウントの自動退会処理について。メール番号:Ek2023-44827413
Date: Sun, 18 Jun 2023 07:09:46 +0800

★リンク先無
Received: from source:[43.153.171.155]【135,139,445,3389】【在日Tencent】 helo:Amazon.co.jp
Subject: お支払い方法の情報を更新
Date: Sun, 18 Jun 2023 07:08:10 +0900
X-mailer: Sfdai 8

Received: from source:[114.80.44.6] 【*】helo:mail.aa.qyydzqb.cn【China Telecom】
Subject: 「新幹線eチケットサービス」えきねっとアカウントの自動退会処理について。メール番号:Ek2012-12633229
Date: Fri, 16 Jun 2023 00:14:51 +0800

リンク先詐欺サイトhttps://www.saisoncard.co.jp/【45.60.48.171ーアメリカIncapsula】【11,21,53,66,80,81,88,89,98,118,119,389,443,445,457,465,587,636,900,1024,1025,1028,1029,1080,1352,1433,1494,1521,1720,2000,2001,2049,2433,3268,3306,3389,4000,4001,4002,4444,5000,5222,5556,5678,5800,5900,5901,6000,6666,7000,7001,7002,7070,7100,7777,8000,8001,8010,8080,8081,8100,8383,8888,9090,10000,12345】
Received: from source:[192.236.146.37] helo:comisaiaz005.com
Received: from spK.info?saisoncard.co.jp (unknown [111.166.253.118])【*】【China Unicom】【dns118.online.tj.cn】
Subject: 【セゾンカード】重要なお知らせ
Date: Fri, 16 Jun 2023 03:17:58 +0800
X-mailer: Rhzfqto 1

+++++++++++++++
★IPv6表示の詐欺メールは、今のところ【アメリカBaxet Group Inc】からやってくる。メールヘッダーから言えば、カナダのクラウドらしいが時間帯の詐称だろう。多分、システムの時計を変更しているのではないかと考えられる。メールヘッダーには次のようにーーー【カナダ -0500 (CDT)】、カナダのBaxet Groupはーーー【91.149.252.0から91.149.252.255 】

IPv6のアドレス・・・アメリカBaxet Group
[2605:e440:3::1:135]
[2605:e440:2::2:381]
[2605:e440:2::3:275]
[2605:e440:2::2:263]
[2605:e440:2::37b]
[2605:e440:7::2:1db]
[2605:e440:2::1:3ec]
[2605:e440:2::2:2c]
[2605:e440:2::3fa]
[2605:e440:3::1:1bc]

IPv6がメールヘッダーの送信元の場合、そのアドレスを基にArinで調べる。

American Registry for Internet NumbersARIN is a nonprofit, member-based organization that administers IP addresses & ASNs in support of the operation and growth of the Internet.

www.arin.net

以下のようにプロバイダー名とハンドル名がわかる。

Baxet Group

BG-556（リンク先を調べればIPv4アドレスがわかる。v4とv6の併用状態ゆえに）

★IPv6もIPv4と同じく割り当てがある。

アメリカBaxet GroupのIPv6は、以下。

IPv6 BG-556 BAXET

***は、オープンポートがあるのを示す。例　FTP HTTP HTTPSなど
NONは、ステルス状態。

104.166.124.0 - 104.166.127.255***
107.182.140.0 - 107.182.143.255***
134.195.96.0 - 134.195.96.255 ***
134.195.97.0 - 134.195.97.255 ***
134.195.98.0 - 134.195.99.255 ***
155.254.192.0 - 155.254.195.255***
166.1.181.0 - 166.1.181.255 NON
172.82.84.0 - 172.82.85.255 ***
172.82.86.0 - 172.82.87.255 ***
172.99.172.0 - 172.99.175.255 ***
207.90.236.0 - 207.90.239.255 NON
209.209.112.0 - 209.209.115.255 ***
23.164.240.0 - 23.164.240.255***