2008年03月14日

「ゆうちょダイレクト」を称するフィッシングSPAMSPAM

現在、具体的な仕掛けをまだ判読していないので確定できないのですが、いくつかの要素から十分怪しいと思われます。リンク先をクリック・アクセスせず、メールを破棄することをおすすめします。
また、絶対にこのメールに返信などは行わないでください。

(ページ内にスクリプト仕込みがないため、おそらくは、ゆうちょ銀行のサイトと思わせてID・パスを盗み取るための単純なフィッシング仕掛けだと思いますが…)

<追記:
 やはりフィッシングSPAMでした。
 現在ゆうちょ銀行サイトにて注意を喚起するお知らせページが設けられておりますので詳しくはそちらをご覧ください。
 今後もこの手のなりすましは手を変え品を変え続くと思われますので十分にご注意ください。>

追加情報に伴い、UP当初の情報の一部に打ち消し線を引いています。そちらは古い情報となります。


今回、情報提供の観点から普段は伏せるURLを書いています。
誤クリックの危険がないよう、「.(ドット)」を「★」に置き換えて表示しています。

Subject: ゆうちょダイレクト【重要なお知らせ】


私が郵便貯金の口座を使っていたのは独身時代、それも学生時代までで、その後は使っていません。
また、メールの宛先はサイトなどで使っていたもので、郵政関係に知らせたことも一度もありません(ちなみに簡保にも入っていません)。郵便関係の登録をしたこともないし、流れるわけのないアドレス宛に来たという時点でSPAM臭いと判断しました。

その全文。

ゆうちょダイレクトをご利用頂き有難うございます。

お客様へ重要なお知らせです。
詳しくは下記より必ずご確認下さい。
http://jp-bank-japanpos★weblike★jp/form★php

株式会社ゆうちょ銀行


常識的に考えてあまりにも簡潔すぎる文面、しかも具体的な情報が何もなく、リターンアドレスの署名もありません。やはりこれはどう見ても怪しい。

*3/13現在、「ゆうちょ銀行」及び「ゆうちょダイレクト」の公式サイトでは、緊急や情報入力を要するようなお知らせは特に掲示していないようです。
ゆうちょダイレクトをご利用の方は、公式サイトをご覧になって情報をチェックすればご安心いただけるのではないでしょうか。
どうしても不安であれば直接郵便局にお問い合わせをされるのも手です(年度末や転居の季節で忙しい時期に、職員さんには大変だと思いますが…)ね。
まず提示しているURLの吟味から。

ドメインが
jp-bank-japanpos★weblike★jp

となっているのだが、
「japanpost」でなく
「japanpos」というあたりに既にヤバさが漂っている。

(本家のゆうちょダイレクトのドメインは
 "www.jp-bank.japanpost.jp"です。)

さらに最後の「weblike.jp」というドメインは、調べてみると「チカッパ!レンタルサーバー」の提供するドメイン(月額525円と安価、しかもお試し期間付き)であることが分かった。

ゆうちょ銀行がそこらのレンタルサーバー、しかも安価なサブドメインコースを借りて運用するわけがない。

さらに、「ソースチェッカーオンライン」でURLのソースと仕掛けをチェック。
ブラクラチェックの結果としては特に問題は見つからなかった(本当のゆうちょダイレクトへの飛びリンクがある程度?あからさまに別のワーム仕込みサイトに転送するような仕掛けはないかな?)のだが、実際にソースを見てみると
mozilla系でのチェック結果はこちら。クリックしてさらに飛び先のチェックが安全に行えますが、文中のURLをコピペしてアクセスすると危険なので注意してください。

<META name="GENERATOR" content="IBM WebSphere Studio Homepage Builder Version 10.0.1.0 for Windows"


ってオイオイオイオイ…
この部分は、「このページはホームページビルダー10を使って作りましたよー」という意味。仕掛けの内容は具体的じゃないけどやっぱりどうしたってマトモではない。

ちなみにこのページは、本物のゆうちょダイレクトのログインページに似せて作ってあるようだが、オリジナルの方のソースにはもちろんこんなタグは入っていない。
興味のある方は本物のソースと見比べてみると色々と違っていることが分かると思う。

どちらにしても、もしこれと同じメールが届いた場合には、無視して絶対にURLをクリックしたり、「心当たりがない」と返信したりしないのが一番だと思います。
具体的な情報が入りましたらまた続報をまとめようと思います。

一応参考までにメールヘッダも晒し。(当方に関する部分は削除及び*で隠してあります)
相手方の「infor@jp-bank.japanpost.jp」
っていう自称のメールアドレスからして嘘八百だしな…

Return-Path: <infor@jp-bank.japanpost.jp>
Delivered-To: 略
X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on 略
X-Spam-Level:
X-Spam-Status: No, score=-0.4 required=5.0 tests=BAYES_00,TVD_SPACE_RATIO
autolearn=no version=3.2.4
Received: (qmail 2243 invoked by uid 89); 13 Mar 2008 22:45:00 +0900
Received: from www608.sakura.ne.jp (59.106.19.38)
by 192.168.1.3 with SMTP; 13 Mar 2008 22:45:00 +0900
Received-SPF: none (192.168.1.3: domain at jp-bank.japanpost.jp does not designate permitted sender hosts)
Received: from 略
(authenticated bits=0)
by www608.sakura.ne.jp (8.13.6/8.13.6) with ESMTP id m2DDix9Q019809
for 略; Thu, 13 Mar 2008 22:44:59 +0900 (JST)
(envelope-from infor@jp-bank.japanpost.jp)
To: 略
Message-ID: <20080313.2244520700.babaq@infor-jp-bank.japanpost.jp>
Date: Thu, 13 Mar 2008 22:44:52 +0900
From: infor@jp-bank.japanpost.jp
posted by 大道寺零(管理人) at 02:32 | Comment(2) | TrackBack(0) | SPAM
この記事へのコメント
注意記事が先ほど出ました。
[ゆうちょ銀行]
http://www.jp-bank.japanpost.jp/news/2008/news_id000219.html
[ITmedia]
http://www.itmedia.co.jp/enterprise/articles/0803/14/news061.html
誘導URLが二通りあるようです。

昨年7月に新生銀行を騙る英文spamが一日数通来たことがあり、やはりフィッシングサイトにつながっていました。
なお、この手の詐欺サイトは足が速く、今回の誘導先も既に消えているようです。
Posted by 末期ぃ at 2008年03月14日 16:41
>>末期ぃさん

情報ありがとうございます!公式のアナウンスが出たなら今後各種ニュースサイトでも取り上げられるだろうし、これについては確定ということで…

このSPAMを見たのは昨日(というか日付的には今日ですね)、さて寝るか!というタイミングでして、ソーススキャンやめぼしいドメイン名などで検索しても何一つ情報がなかったのですが、あからさまに怪しかったので記事を書いてから寝ました。おかげで睡眠時間はちょっと削られてしまいましたが、Googleにもわりとすぐ拾ってもらえましたし、まあ良かったです。

この手のフィッシングサイトのURLは本当にさっさと撤収しますね…
レンタルサーバーのお試し期間終了を待たずにドロンする気満々なんでしょうし、一人か二人のパスが拾えれば大御の字、懐もほとんど痛まないわけですしね。資本はホームページビルダーだけ?それにしたってちゃんと買った代物かどうか怪しいですけどね…
今後とも気を付けていきたいと思います。
Posted by 大道寺零 at 2008年03月14日 18:00
コメントを書く
お名前: [必須入力]

メールアドレス:[基本的に空欄を推奨します。詳細はこちらをご覧ください。]

ホームページアドレス:

(コメント投稿後、表示に反映されるまで時間がかかる場合がございますのでご了承の上、重複投稿にご注意ください。)
コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.seesaa.jp/tb/89498774

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。