フィッシング

二回目特別定額給付金のフィッシングメールが来たので調査してみた

2020-10-28

概要

テレビのニュースでも取り上げられていましたので、すでにご存知の方も多いかと思います。
やっと私のアカウントにも特別定額給付金の第二回目が始まったという案内のフィッシングメールが届きました。

フィッシングメールの中身

実際に送られてきたメールがこちらです。

本物の特別給付金のメールを見たことがありませんが内容はそれらしく見えます。
第二回目の給付金が配られるという正式発表はありませんので、コロナ禍を狙った悪質なフィッシングであることは間違いありません。
文章自体は他のフィッシングにあるようなおかしな日本語はありませんでした。
「と示され、このため、感染拡大防止に留意しつつ、簡素な」と句点が多い印象がありますが、総務省の「特別定額給付金の給付を騙ったメールに対する注意喚起」のページも句点が多い傾向ですので、こういう書き方なのでしょう。

メールヘッダ

次に送られてきたメールのヘッダ情報を抜粋して見てみます。

 html
Return-Path: <nqqsjd@soumu.go.jp>
:
:
Received: from soumu.go.jp (v118-27-81-175.8u1h.static.cnode.io [118.27.81.175])
by yyyy.zz (Postfix) with ESMTP id 4C5F920237FFF
for <xxxx@yyyy.zz>; Wed, 28 Oct 2020 18:03:16 +0900 (JST)
From: =?utf-8?B?57eP5YuZ55yB?= <info@soumu.go.jp>

まず、送信元ですが@soumu.go.jpが使われています。ただinfoではなくランダムなアルファベットの羅列に見えます。
ヘッダの中から以下のドメイン、IPについて追加で見ていきます。

  • v118-27-81-175.8u1h.static.cnode[.]io [118.27.81[.]175]

v118-27-81-175.8u1h.static.cnode[.]io [118.27.81[.]175]

送信元のIPを見てみます。こちらは国内のIPとなっています。このIP自体をAbuseIPDBVirusTotalで確認してみましたが今のところ踏み台などの報告はないようです。踏み台またはメールの送信サーバとして利用されたのではないかと思われます。
AbuseIPDBに報告しました。(2020-11-01)

フィッシングサイト

2020-10-28 18:27(メール受信25分後)にアクセスしてみましたがすでにフィッシングサイトのデータは存在しませんでした。


ドメインはsoumu-go-jp[.]clubです。

soumu-go-jp[.]club

まずは、このドメインを登録している組織をwhoisで調べてみます。

 html
Registry Domain ID: DDBA70819DBB04A858A0067DA1262D03E-NSR
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: http://www.namecheap.com
Updated Date: 2020-10-28T21:15:59Z
Creation Date: 2020-10-22T05:50:30Z
Registry Expiry Date: 2021-10-22T05:50:30Z
Registrar: NameCheap, Inc.
Registrar IANA ID: 1068
Registrar Abuse Contact Email: abuse@namecheap.com
Registrar Abuse Contact Phone: +1.6613102107
Domain Status: serverHold https://icann.org/epp#serverHold

作成が2020-10-22となっていますので、このフィッシングのために取得したとみて間違いなさそうです。
また、DNSで引いてみると以下の通りです。
soumu-go-jp.club. 1726 IN A 185.47.131.176

証明書情報

URLを見ると鍵マークが正しく表示されています。つまりSSL暗号化は正しい証明書で行われているということになります。ただし、SSL暗号化が正しいからといって、そのサイトが本物という証明にはなりません。この鍵マークに惑わされないようにしましょう。

証明書自体はLet's Encryptによって正しくサインされていることがわかります。
Let's Encryptは無料で利用できるため、誰でも正しく鍵がかかったサイトを作ることができます。このサイトもLet’s Encryptを利用してHTTPSでアクセスできるようにしています。すべてのサイトが無料でHTTPSでのサービスを提供できるメリットがある反面、このようなフィッシングサイトにも利用されてしまうのがなんとも言い難い現状です。

フィッシングサイトその後

2020-10-29(フィッシングメール受信の翌日)には、すでに偽物のサイトへの接続自体ができなくなっています。

まとめ

最近のフィッシングメールおよびフィッシングサイトは、本物と見間違うほど本物っぽく作られています。ですが、クリックする前にURL(本文に書かれているものではなく)を確認することでアクセスする前に気付くことができます。
仮にアクセスしてしまった場合も、URLや証明書をきちんと確認することが重要です。
また、リンクからアクセスするのではなく、ブックマークなどからアクセスすることでフィッシングサイトへの誘導から逃れることが可能です。

最近、様々な企業を装ったフィッシングメールが送られてきていますので気を付けましょう。

IOC

すべて2020-10-29時点での情報です。

  • v118-27-81-175.8u1h.static.cnode[.]io [118.27.81[.]175]
    VirusTotal : 報告はありません。
    AbuseIPDB : 報告はありません。AbuseIPDBに報告しました。(2020-11-01)
  • https://soumu-go-jp[.]club/
    VirtusTotal : いくつかでPhishing, Suspicious, Spamとなっています。
  • 185.47.131.176
    VirusTotal : 1つSpamとなっています。

-フィッシング

© 2020 Mister Style All rights reserved.