【三菱東京UFJ銀行】本人認証サービスの迷惑メールは開封せず削除すべし

2015-04-24

スパムメールは開かずに削除しましょう

三菱東京 UFJ 銀行を装って「本人認証サービス」という件名で届くメールは、発信元が中国のスパムメールです。

高確率で迷惑メールフォルダに分類されていると思いますが、このメールはなにやら怪しいコードが仕込まれているので開かないのが賢明。

どうしても気になってしまうなら、以下に迷惑メールの内容を公開するのでご覧ください。

スパムメールの概要

Gmail の「迷惑メール」に入っていたメールがこちら。

三菱東京UFJ銀行スパムメール

個人情報保護用のスタンプみたいな部分がありますね。こちらで画像処理してモザイクをかけたわけではなく、キャプチャをそのまま載せています。

いきなり『こんにちは!』で始まる文面もさることながら、これだけで怪しさ満点ですw

とりあえずソースを覗いて詳細を調べてみましょう。

発信元は中国

bk@mufg.jp というメールアドレスできていますが、これは偽装したものです。本当のメールアドレスはわかりませんが、ソースのヘッダ部分を見てみると、こんな記述が。

Content-Type: text/html;charset="GB2312″

「charset」というのは文字コードの指定です。ブログでは Shift_JIS や UTF-8 というものが使われますし、日本語のテキストメールなら ISO-2022-JP が一般的。

GB2312 なんて見たことがない方も多いはず。

実はこれ、簡体字中国語の文字コードです。三菱東京 UFJ 銀行がわざわざこの文字コードで送ってくる理由がありませんよね。

メールソフトは Foxmail

さらにヘッダ部分を見ていくと、こんな記述も。

X-Mailer: Foxmail 5.0 beta2 [cn]

Foxmail というメールクライアントソフトのようですが、僕はこんなのがあるなんて知りませんでした。知らないことは Google 先生に聞いてみましょう。

とりあえず、検索 1 位と 2 位に出てきました。

Foxmail 検索結果

2 位のダウンロードサイトは日本語に翻訳されているようです。おそるおそる見てみると…

Foxmail ダウンロードサイト

“とびきり優秀なメールクライアントが無料で” 提供されているようです。

Fox といえば Firefox が思い浮かびますが、なにか関係あるんでしょうか。説明を読んでみましょう。

その名前からするとFirefoxと何か関連がありそうですが、全くありません。Foxmailは複数のemailアカウントを同時に管理し、連絡先を検索し、送信者、内容、件名ごとにemailを検索できるemailクライアントです。

関係ないんかい!

こんなの使ったらどこにメールが飛んでいくかわからないので、ダウンロードしないでくださいね。

メールに埋め込まれた謎の文字列

スパムメールのソース部分に戻ります。ヘッダではなく、本文を見てみましょう。

まず冒頭で HTML の宣言が記されており、テキストメールではなく HTML メールというのがわかります。

<!DOCTYPE HTML PUBLIC “-//W3C//DTD HTML 4.0 Transitional//EN">

本文が始まる前に、こんな div 要素がありました。

<DIV style="CLEAR: both; DISPLAY: inline; FLOAT: left; OVERFLOW: hidden; LINE-HEIGHT: 0px; HEIGHT: 0px">

要素の高さが 0px となっているので、HTML モードでメールを開くとこの部分は見えないはず。

迷惑メールはテキスト形式で開かれるので、HTML の指定が反映されずに謎の文字列が浮かび上がってきたということですね。

BCAD4DF5 という文字列で始まっていますが、いったいどのような目的で仕込まれたものかわかりません。おそらく、メールを開いただけで何らかの情報がどこぞに飛ばされる仕組みだと思います。

スパムメールには、ウィルスと同じくメールを開いただけで危険なものがあるので、くれぐれもご注意ください(※プレビュー画面に表示するのも危険です)。

本文中のURLはダミー?

スパムメールはフィッシングサイトに飛ばして個人情報を抜き取るものが多いですが、このメールにも URL が記されています。

https://entry11.bk.mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001

この URL 自体は本物です。三菱東京 UFJ 銀行のログインページに飛びます。

三菱東京UFJ銀行ログイン画面

よくあるのが、この URL に別のリンクを指定する手口。スクウェア·エニックスの「常確認」スパムメール などがそうですね。

では、ソースを覗いてどこに飛ばそうとしているのか調べてみましょう。

<A href="http://www.hht.cc/js/">https://entry11.bk.mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001</A>

やはり別のサイトに飛ばそうとしていました。

でも、実際にアクセスしてみると…

中国語の404ページ

残念ながら(?)404 ページでした。フィッシング用のページだったんでしょうか。

興味本位で http://www.hht.cc/ にアクセスしてみると…

スパムメールからリンクされたサイト

あら、かわいい遊具がたくさん。

どうやら銀行と同じページを用意して個人情報を抜き取るタイプではなさそうです。やはり、本当の目的は隠し要素にあるようですね。

というわけで、迷惑メールに紛れ込んでいるメールは安易に開かず、そのまま削除することをおすすめします。

まとめ

僕のもとに届いたメールはこんな感じでしたが、どうやらいろいろな手口でスパムメールを乱発しているようです。

様々なケースが三菱東京 UFJ 銀行のサイトで紹介されていますので、口座があるなら一度目をとおしておいてください。

参考パスワードを入力させる偽メールが届いても、絶対に入力しないでください!

知らぬ間に個人情報が抜かれていた! なんてことがないよう気をつけましょう。

それでは、また。

生活・暮らし

Posted by Ellora