公開日:2022/6/13
Yahoo! JAPAN – ID登録確認 というメールがフィッシング詐欺か検証します。
アカウント情報が失われているので確認して欲しいといった内容です。
メール本文は以下の通り。
Yahoo! JAPANをご利用いただき誠にありがとうございます
申し訳ありませんが、お知らせします。
お客様のアカウントをアップグレードすると、アカウント情報が失われていることがわかりました。
できるだけ早くYahoo JAPANの公式サイトにログインして、あなたの情報を確認してください。
ご不便をおかけして申し訳ございません。
下のリンクをクリックして、公式サイトにアクセスします。
//login.yahoo.co.jp/config/login/
請求書の住所が変更されたのかもしれません。
他の人があなたの情報を悪用した可能性もあります。
【注意】
もし私たちがずっとあなたの情報を受け取っていなかったら
あなたの口座は失効する可能性があります。
□発行:ヤフー株式会社
□発行日:2022年06月13日
(C) Yahoo Japan
まずは送信元を調べてみます。
From:" Yahoo! JAPAN Member"<service@f48lb1jh[.]cn> Return-Path:<service@f48lb1jh[.]cn> |
送信者名はYahoo! JAPAN Memberとなっていますが、 送信元メールアドレス、Return-Pathともにf48lb1jh[.]cnのドメインのメールアドレスになっています。
Domain Name:f48lb1jh[.]cn ROID:20210625s10001s36868338-cn Domain Status:ok Registrant:刘朋 Registrant Contact Email: datiezhu17695147@163.com Sponsoring Registrar:阿里云计算有限公司(万网) Name Server:dns23.hichina.com Name Server:dns24.hichina.com Registration Time:2021-06-2517:20:50 Expiration Time:2022-06-2517:20:50 DNSSEC:unsigned |
このドメインはcnドメインですので、中国で取得されているドメインです。
次に送信元サーバーを調べてみます。
Received:from xGW.wohg(unknown[190.123.44[.]221]) |
190.123.44[.]221というIPアドレスが出てきました。
調べてみると、
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 | inetnum:190.123.44.0/22 status:allocated aut-num:N/A owner:Panamaserver.com ownerid:PA-PANA2-LACNIC responsible: Ch Group Corp. address:Bella Vista,El cangrejo,Calle49,0, address:00000-Panama- country: PA phone:removed phone number owner-c:MAC30 tech-c:MAC30 abuse-c:MAC30 inetrev:190.123.44.0/24 nserver: NS1.PANAMASERVER.COM nsstat:20220607AA nslastaa:20220607 nserver:NS2.PANAMASERVER.COM nsstat:20220607 AA nslastaa:20220607 inetrev:190.123.45.0/24 nserver:NS1.PANAMASERVER.COM nsstat:20220608AA nslastaa: 20220608 nserver:NS2.PANAMASERVER.COM nsstat:20220608AA nslastaa:20220608 inetrev:190.123.46.0/24 nserver: NS1.PANAMASERVER.COM nsstat:20220609AA nslastaa:20220609 nserver:NS2.PANAMASERVER.COM nsstat:20220609 AA nslastaa:20220609 inetrev:190.123.47.0/24 nserver:NS1.PANAMASERVER.COM nsstat:20220608AA nslastaa: 20220608 nserver:NS2.PANAMASERVER.COM nsstat:20220608AA nslastaa:20220608 created:20090901 changed:20190923 |
パナマのIPアドレスのようです。
次に、メール内のリンクの遷移先について調べてみます。
ソースを見てみると、
<ahref="//yaahnmhon[.]co/"target="_blank">https://login.yahoo.co.jp/config/login/</a> |
となっており、//yaahnmhon[.]co/ へと遷移するようです。
このドメインのwhois情報を見ると、登録は米国、Godaddyで取得されたドメインのようです。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 | Domain Name:yaahnmhon[.]co Registry Domain ID:DD303B9347FEF436EA093B580D7524D2D-GDREG Registrar WHOIS Server:whois.godaddy.com Registrar URL:whois.godaddy.com Updated Date:2022-06-08T08:35:07Z Creation Date:2022-06-08T08:35:06Z Registry Expiry Date:2023-06-08T08:35:06Z Registrar:GoDaddy.com,LLC Registrar IANA ID:146 Registrar Abuse Contact Email:abuse@godaddy.com Registrar Abuse Contact Phone:+1.4806242505 Domain Status:clientRenewProhibited https://icann.org/epp#clientRenewProhibited Domain Status:clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited Domain Status:clientTransferProhibited https://icann.org/epp#clientTransferProhibited Domain Status:clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited Domain Status:addPeriod https://icann.org/epp#addPeriod Registry Registrant ID:REDACTED FORPRIVACY Registrant Name: REDACTED FORPRIVACY Registrant Organization:Domains By Proxy,LLC Registrant Street:REDACTED FORPRIVACY Registrant Street:REDACTED FORPRIVACY Registrant Street:REDACTED FORPRIVACY Registrant City:REDACTED FORPRIVACY Registrant State/Province:Arizona Registrant Postal Code:REDACTED FORPRIVACY Registrant Country:US Registrant Phone:REDACTED FORPRIVACY Registrant Phone Ext:REDACTED FORPRIVACY Registrant Fax:REDACTED FORPRIVACY Registrant Fax Ext:REDACTED FORPRIVACY Registrant Email:Please query the RDDS service of the Registrar of Record identified inthisoutput forinformation on how tocontact the Registrant,Admin, orTech contact of the queried domain name. Registry Admin ID:REDACTED FORPRIVACY |
安全を担保したうえでこのURLにアクセスしてみます。
すると、
このようにYahoo!Japanのログイン画面をコピーした偽サイトが運用されていました。
この偽サイトのIPアドレスは、204.44.88[.]70です。
これは米国のquadranetというホスティングサービス会社のものでした。
Yahoo! JAPAN – ID登録確認 というメールはフィッシング詐欺
Yahoo! JAPAN – ID登録確認 というメールはフィッシング詐欺です。
このメールはYahoo!Japanを装っていますが、中国ドメインのメールアドレスで、パナマにあるサーバーから送信されています。
またメールの遷移先は米国のサーバーで運用されている、Yahoo!Japanのログイン画面をコピーした偽サイトです。
くれぐれもアカウント情報や個人情報を入力することがないよう、ご注意ください。
関連記事
カテゴリ:フィッシング
タグ:Yahoo! JAPAN,スパムメール,フィッシング詐欺