このところ、フィッシングメールが増えています。この1ヶ月半ほどの間に届いた150件のフィッシングメールの解析をしてみました。メールソフトの操作ミスで一部のメールは記録をとる前に削除してしまいました。
このようなメールが届くと、迷惑メール相談センター <meiwaku@dekyo.or.jp>とフィッシング対策協議会 <info@antiphishing.jp>にファイルを転送して受信報告をしています。さらに、フィッシングサイトへのリンクがあればそのリンク先のアドレスをグーグルセーフブラウジングチームに報告しています。ここで確認されれば一部(全部かな)のブラウザでは、警告画面が表示されるようになります。
次に解析結果です。まずは送信時間帯別の割合です。グラフにしてみました。夜半過ぎに多いことがわかります。朝開いてみると、たくさん受信するという感覚と一致します。
送信者の名前とその件数です。これは詐称することができます。
1件 Diners Club JCBード会員サービス SoftBank UC CARD
さくらインターネット ユーシーカード 楽天銀行 三井住友会社
2件 JACCS Raktuen アプラスカード 三井住友SMBC
3件 eオリコサービス Rakuten アマゾンプライム エポスカード 楽天市場
自衛隊 大規模接種センター (なまえなし)
4件 SAISON CARD
6件 エムアイカード PayPay イオンカード
7件 三井住友カード VISAカード
9件 American Expres
11件 ETCサービス TS CUBIC CARD
23件 メルカリ
30件 アマゾン
アマゾンはかなり前から多発しています。メルカリは最近になって増えてきました。Raktuenは送信者の凡ミスです。
件名の先頭強調部分です【】とかでかこまれている部分の文字です。
1件 要返信
2件 RECEIVER_ADDRESS 緊急お知らせ 最終警告 要確認
5件 重要なお知らせ 5
37件 重要
61件 (送信者名)
送信者名(詐称)は普通として(でも普通はしない)も、重要というのもたくさんありました。RECEIVER_ADDRESSは何かのスクリプトなのでしょうか。
件名別件数です。適当に要約したり整理しています。似たものが重複していたり内容が違うものを同じとしているかも知れません
1件 Eメール アカウント変更 アクション ありがとう システム更新
セキュリティ通知 ポイント払戻し ログイン 異常ログイン 確定ご案内
確認完了 緊急確認 再設定 支払情報更新 取引規制 重要 出荷異常
状況確認 設定解除 登録情報 動特設特 変更完了 有効期限切 利用お知らせ
利用金額 利用明細
2件 金額確定 手続完了 注文確認
3件 アルバイト 緊急配送 支払方法変更 情報更新 請求確定 注文変更
4件 項目なし アカウントエラー 必読
5件 アカウント停止 支払に問題
8件 利用確認
10件以上 無効(10) 緊急連絡(12) 情報確認(14) 本人確認(14) お知らせ(24)
送信者メールアドレスのドメインです。正規のものが101件あります。これは詐称可能です。紛らわしいのは、paypay-corp.co.jp と aexp.com です。正しいのでしょうか。1回限りが44件あります。そのうち.cn(中国発)で終わるものは9件あります。
中継サーバです。送信者のサーバを示すことが多いようです。25件記載されていてそのうち22件が.cn で終わっています。
発信者IPアドレスです。
ほとんどが1回限りの使用になっています。2回のものは7件、3回が2件、4回と9回が1件ずつになっています。
先頭2つの数字セットで合算してみました。会社別に合計していると見なせるでしょう。多い順に書きます。情報を検索してくれるところがあるので、そこで調べた結果も書きます。5件以上のものだけにします。
116.85 44件 中国 Beijing Xiaoju Technology
160.251 16件 日本 GMO Internet, Inc
180.215 10件 香港 cs.com@ctgserver.net
163.43 8件 日本 さくらインターネット
116.80 6件 日本 NTTPCコミュニケーションズ
118.27 5件 日本 GMO Internet, Inc
118.107 5件 韓国 CTG Server Ltd.
日本のGMO Internet, Incからのものがたくさんあります。ここにあげた以外にも小数件数であります。一度、情報を送信したことがあるのですがまだ返事がありません。さくらインターネットも多いのですが、こちらは情報を提供したときはレンタルサーバが3者に乗っ取られた可能性があるとの返事でした。どちらかというと無料お試し期間を利用した不正使用の方が可能性が高いような気がします。
メールアドレスの一覧みたいなものが売買されているような気がします。その時に、閉鎖されているアドレスを購入したら損をします。時々チェックが入るのかも。それが、送信者アドレスで.cn が含まれているものにあるかも知れません。正しいアドレスを書かないと、送信不明かどうかの返事が戻ってきません。
メールアドレスを変えた方がいいかなという気がしています。その先のことを考えると、どのように割り振るのがいいのか、連絡を特に登録しているところをどうするのかまだ悩んでいます。プロバイダのアドレス変更は古いのが即使えなくなりそうなので、これもネックになっています。