詐欺メールはどこからやってくるのか？

本物そっくりの詐欺メールがたくさん届くようになってきました。ふつうは、これらの詐欺メールは、プロバイダの電子メールシステムの選別機能(フィルタ)が働いて「迷惑メールフォルダ」に届くようになっているはずですが、なかには、巧妙にフィルタをすり抜けて、通常の「受信箱」に届くものがあります。

 

いったいこれらの詐欺メールはどこからやってくるのでしょうか？

 

ここでは、当方あてに通常の「受信箱」に届いたこれらの詐欺メールを、メールヘッダーから解析して、アドレスやサーバーなどのWHOIS情報を参考に、分類してみたので、その結果を記述します。

 

対象のメールは、2021年1月1日から5月27日までのおよそ5か月の期間に、本来「迷惑メールフォルダ」行きのはずであるが何らかの理由で通常の「受信箱」に届いた詐欺メール167件です。(実際の「迷惑メールフォルダ」に届いた詐欺メールは、この十倍から数十倍以上はあります。その一部が漏れて「受信箱」に入ってしまったと考えています。)

 

なお、ここでは、詐欺メールの見分け方の詳細や、騙されないためにどのような対策をするべきかについては触れていません。(これらについては、ネット上に優れた記事がたくさんあります。)

 

1. 詐欺メールの内訳

 

届いた詐欺メールには、アカウントとカード情報を抜き取るもの、カード情報を抜き取るもの、サイトへのログイン情報を抜き取るもの、出会い系サイトへ誘導するもの、脅しをかけて不正に送金を要求するもの、があります。

 

これらの件数の内訳と割合は次のとおりです。

 

【詐欺メールの内訳】

 

【詐欺メールの内訳】

 

アカウントとカード情報を抜き取るもの、カード情報を抜き取るものをあわせて全体の3分の2の113件に達していることがわかります。

 

その他は、出会い系サイトへ誘導するもの、脅しをかけて不正にBitcoinの送金を要求するものなどでした。この記事では、出会い系サイト誘導と送金要求については割愛します。

 

2. 詐欺の対象物

 

このアカウントとカード情報を抜き取る113件について、どのアカウント情報、どのクレジットカード情報を詐欺の対象としているかについて分類してみると、次のようになります。

 

【主な詐欺の対象物】

 

【カード対象物の内訳】

 

圧倒的に、Amazonに関するものが過半数、次いで、楽天に関するものとなっています。また、主要なクレジットカード会社に関するものが見られます。

 

3. どこの国からこの詐欺メールはでている？

 

これらの実際のメールには、メール本文の中にクリックする箇所が必ずあります。

そのURLのドメイン情報を調べました。

また、メールヘッダーと呼ばれる部分に、発信者の情報、発信元メールサーバーの情報、メールソフトの情報、日本語文字コードの情報などが記述されています。

 

【メールヘッダーの例 (1)】

 

【メールヘッダーの例 (2)】

 

まともな普通のメールであれば、送信者のメールアドレスからわかる国名、発信元メールサーバーがある国名、本文中のサイトのURLがあらわす国名は、一致することが多いとおもわれます。

 

ところが、ここで取り上げた詐欺メールは、これらが一致しないことが多いのです。

 

4. どこの国からこの詐欺メールはでている？

 

メールヘッダーに記載されている発信者のIPアドレス、発信元メールサーバーのURL、本文中にあるクリック誘導のURLのドメイン、それぞれをWHOIS情報をもとに、国名を調査した結果を次に示します。

 

【国別リスト】

 

【送信者メールアドレス(国別)】

 

【発信メールサーバー(国別)】

 

【情報入力先URL(国別)】

 

 

これらを見る限り、非常に偏っていることがわかります。もちろん調査しても不明なところはありましたので、精度はやや低いですが、それでもおおよその傾向はわかります。

 

詐欺メールの送信者は、不明を除くと、日本、次いで中国の順です。しかし、本文中の情報を入力させるためのURLは、不明を除くと、中国が圧倒的に一番となっています。

また、どの国のメールサーバーから発信されているかを見ると、日本、シンガポール、米国、ロシア、香港などばらばらです。

 

この結果をひとことでいうと、これらのアカウント・カード情報を詐取するのは主に中国のサイトですが、メール自体は日本から正規に発信されたように見せかけて、シンガポール、米国、ロシア、香港などの第三国のサーバーを経由して追跡しにくくしている、というように見えます。

 

このアカウントとカード情報を抜き取る113件の詐欺メールのメーラーソフトは、大半がMicrosoftのものですが、一部、中国製のFoxmailが使われていました。

 

【詐欺メールのメールソフト】

 

また、メール本文の日本語文字コードは、大半がUTF-8でしたが、中国のGB2312も一部にありました。

 

【詐欺メールの文字コード】

 

これ以上の追跡はしていませんが、やはり中国のまたは中国に関係した詐欺グループが多いと見るのはそれほど外れていないようです。Silent invasion がここにもと考えるのは考え過ぎでしょうか。

 

5. 終わりに

 

ここでは、詐欺メールの見分け方の詳細や、騙されないためにどのような対策をするべきかについては触れていませんが、怪しいメールにはじゅうぶん注意しましょう。

 

怪しいとおもったら、発信者情報(メールアドレス、メールヘッダーに記載してあるメールサーバーのアドレス、発信者のIPアドレスなど)を調べて、本物か偽物の判断をしましょう。

 

(2021-6-2)

 

 

なお、本調査で使用した元のデータと図表のまとめ資料については、以下をごらんください。(PWについてはサイト管理者までお問い合わせ下さい。)  phishingemail .

 

→  元のデータ (Excel)

→  図表のまとめ資料 

.