【緊急注意報】「三菱UFJ信託銀行 – 口座開設申込受付」の不審なメール

2017年12月8日朝の着信メールの点検で、スパム糞メールフィルタに、12月7日の夜に発信された、件名:「三菱UFJ信託銀行 – 口座開設申込受付」の不審なメールが2通引っ掛かっていました。

2通の本文を見たら、誘導先のURLが異なるだけで、愉快犯の犯行だろうと思ったのですが、2通目の最下行にメール作成の失敗ではないかと思えるURLが残っていて、これをクリックしたら、怪しいファイルをダウンロードしようとしたので、【緊急注意報】として皆さんへお知らせしておきます。

なお、私が使用しているメール用のソフトは「Becky!」でTEXT形式だけしか表示不可能。
HTML形式は表示出来ませんので、皆さんが見られるメールの様子とは異なるかもしれません。 もちろん、HTML形式のメールは何かと問題が多いため、GmailなどもTEXT形式での表示だけで使用しています。

スポンサーリンク

【緊急注意報】「三菱UFJ信託銀行 – 口座開設申込受付」の不審なメール

不審なメールの2通目の内容です。

誘導先のURLの一部は「*」に文字変更してあります。

不審なメールの内容

差出人:三菱UFJ信託銀行 <account_post@tr.mu**.jp>

件名 :三菱UFJ信託銀行 – 口座開設申込受付


[1通目]

発信日時:Thu, 7 Dec 2017 20:13:12 +0900

Received: from [uenokk.st.wakwak.ne.jp] (account account_post@tr.mufg.jp HELO tr.mufg.jp)by uenokk.st.wakwak.ne.jp (CommuniGate Pro SMTP 5.2.3)


[2通目]

発信日時:Thu, 7 Dec 2017 14:26:51 +0200

Received: from [ending.spunk.volia.net] (account account_post@tr.mufg.jp HELO tr.mufg.jp)by ending.spunk.volia.net (CommuniGate Pro SMTP 5.2.3)


以下は、2通目の本文。
1通目との違いは、誘導先のURLのページ。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃【三菱UFJ信託銀行】口座開設の申込を受け付けました
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

このたびは お申し込みいただきありがとうございます。

受付番号[ S126828 ] にて口座開設の申込書類のご請求を承りました。
お問い合わせの際には上記受付番号をお申し付けください。
なお、申込書がお手元に届くまでに1週間程度かかる場合がございますので、
予めご了承下さい。

※ご入力いただいたお客さま情報を口座開設申込書に印刷のうえ、お客さまに
<http://ug.rjmdreamweaver.com>http://www.tr.mufg.jp/
application/*******/S129768.html

お送りいたしますが、やむを得ない事情により、お客さま情報の印刷を行わず
白紙の口座開設申込書をお送りする場合があります。
<http://ug.rjmdreamweaver.com>http://www.tr.mufg.jp/
application/registra********/76408.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
このメッセージは、三菱UFJ信託銀行ホームページより
自動的に送信されています。
このメールに対して返信しないようお願いいたします。
このメールに心当たりのない場合やご不明な点がある場合は、
account_post@tr.mu**.jpまでご連絡ください。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
プライバシーポリシーについてはこちらをご覧ください。
<http://ug.rjmdreamweaver.com>http://www.tr.mufg.jp/
application/*******/index.html

Copyright(C) 2017 Mitsubishi UFJ NICOS Co.,Ltd. All Rights Reserved.
84;さい。
a href=”http://cr.gracefulliber*****.com

不審なメールと判断した理由

  1. スパム糞メールのフィルタソフト「SpamDump」のフィルタに引っ掛かって、トイレの浄化槽へ流される寸前であったこと。
  2. 「三菱UFJ信託銀行」なる所へ「口座開設申込」したことがない。
  3. 1通目の発信日時は「+0900」で「日本」。
    2通目の発信時刻は「+0200」で「東欧」。
  4. 1通目のヘッダーのReceived:行にある[uenokk.st.wakwak.ne.jp]のIPアドレスは「61.45.36.225」、IPアドレスの割当国は「日本」。
    2通目のヘッダーのReceived:行にある「ending.spunk.volia.net」のIPアドレスは「93.74.151.108」、IPアドレスの割当国は「ウクライナ」。
    この類のメールを発信する輩は、ロシアや、ポーランド、ウクライナなどの東欧諸国を利用していることが多い。
    しかし、1通目の[uenokk.st.wakwak.ne.jp]は差出人の実アドレスだったのか?・・・失敗に気付いて慌てて「ending.spunk.volia.net」を使って2通目を発信したようにも思える。

誘導先のページを開いてみました

この類のメールは、書かれているURLをクリックして、サイトを開いただけでもウイルスに感染したりするため、絶対に開かないようにして下さい。
この類のサイトを開いたために招いた結果は自己責任です。

1つ目の確認

最初に「<http://ug.rjmdreamweaver.com>http://www.tr.mufg.jp/application/*******/S129768.html」と「<http://ug.rjmdreamweaver.com>http://www.tr.mufg.jp/application/registra********/76408.html」を開いてみました。

両方とも、「指定されたページが見つかりません」

メールが着信してから時間が経っていないうちなら何か楽しい画面が表示されたかも知れませんが・・・

この画面の左下の「三菱UFJ信託銀行トップページへ」をクリックしてみました。

下のような画面が表示されましたが、本物か否かは判りません。

上の図で非常に気になるのは、開いたサイトのURLが「http://www.tr.mufg.jp/」で、銀行ともあろう所がSSL化されていないサイトを運用している筈はあり得ないと思い、「https://www.tr.mufg.jp/」に変更して開こうとしましたが、SSL化して保護されたサイトはありませんでした。

2つ目の確認

メール本文の最下行にある「http://cr.gracefulliber*****.com」をクリックしてみました。

いきなり、「楽天カード株式会社の重要な情報.DOC.js」なるファイル名の怪しい JavaScript File の保存画面が開きました。

保存して、どのようなファイルなのかを見てみたいと思いましたが、取り返しがつかないことになっては困るので、止めておきました。・・・触らぬ神に祟りなし

何となく想像するに、このファイルは、次回のフィッシングメールなどに使用するためのものではないかとも思います。

スポンサーリンク
関連コンテンツ
関連コンテンツ

シェアする

フォローする

トップへ戻る