2023.2.24に受信した不審メールの情報提供です。
◆不審メール
件名:【ヤマト運輸e届け通知】2月28日(日)お荷物をご確認願います。
送信元:<公式>ヤマト連絡窓 <admin@kuronekoyamato.co[.]jp>
本文:
◆不審メール情報
同様の内容に関する公式な情報はありませんでしたが、ヤマト運輸を騙ったフィッシング詐欺が増えているようです。
ヤマトホールディングス
重要なお知らせ「ヤマト運輸の名前を装った「迷惑メール・電話」が多発しています。「なりすましサイト」への誘導に十分ご注意ください」
フィッシング対策協議会
緊急情報「ヤマト運輸をかたるフィッシング (2023/02/03)」
・ヤマト運輸からのメールに使用される正規ドメイン
・@kuronekoyamato.co.jp
・@ml.kuronekoyamato.co.jp
・@ml2.kuronekoyamato.co.jp
◆アクセス先等
hxxps://www.gooin-koyamaton.bq8d8.com[.]cn
※直接アクセスしてしまわないようにサニタイズしています。
本文中のリンクのアクセス先URLは、正式なドメインではありません。
メールヘッダを確認するとヘッダfromは、@kuronekoyamato.co.jpとなっており正規ドメインを装っていますが、エンベロープfromを確認すると下記のドメインとIPアドレスになっています。
vjagx@qgfovpm[.]cn
128.1.138[.]29
・調査
それぞれURL・ドメイン・IPアドレスについて調べてみました。
「VirusTotal」による調査
8/88と「Malicious」「Malware」判定されています。
12/88と「Phishing」が多く判定されています。
「urlscan.io」による調査
リンク先URLについて、「Malicious」の判定です。
IPアドレスについては、米国となっています。
リンク先にアクセスさせ情報を入力させて詐取する手口だと思われます。
「IP UTILITIES.NET」による調査
メール送信元のIPアドレスが「香港」となっていました。
リンクのアクセス先IPアドレスは、「米国」となっていました。
スパムIP判定では、「LISTED」となっており、SBL(Spamhaus Blocklist)というリストに載っていることを表しています。
「SPAMHAUS」での調査
リンクになっているのでアクセスするとSPAMHAUSというIPおよびドメインのレピュテーションをチェックするWebサービスで確認することができます。
どちらのIPアドレスもスパムとしてリストに載っていることが確認できます。
ドメインでも確認してみました。
ドメインもスパムとしてブロックリストに載っていることが確認できました。
「ChatGPT」での悪性判定
ChatGPTでドメインの悪性判定を聞いてみました。
いくつかの評価サイトで確認し、評価結果として「悪性つである可能性が高い」となりました。
素早く結果を確認するには、この手段を活用するのが手っ取り早いかもしれません。
◆結果
まず、本文を確認すると不審な点が多々あります。
・日本ヤマトからゆうパックが届けられる
日本ヤマトという会社は知りません。
たとえヤマト運輸だとしてもゆうパックを配達するとは思いません。
・件名の日付が「2月28日(日)」
・お届け予定日が「2月25日(日)」
・お荷物預かり期間が「2月28日(月)」
と、曜日がでたらめである。
・お心辺り
「お心当たり」が正確な日本語である。
本文を見ただけでも怪しいことは判ります。
少しでも不審に思ったらよく確認し、被害に遭わないように気を付けましょう。
◆報告
フィッシング対策協議会にフィッシングの報告を併せて実施しました。