詐欺メール「社団法人日本IT調査会」からの電子メールに注意!

最近更新が滞り気味で申し訳ございません。7月ころまではご容赦ください。

さて、そんな中久しぶりの更新が迷惑メールについての記事になってしまいました。
今日のお昼頃に届いた迷惑メールがちょっと面白かったので記事にしてみようと思ったからです。

このメールはここ数日に発生したと思われる詐欺メールのようです。機械翻訳したような変な日本語ではなく「一応」ちゃんとした日本語で書かれているメールです。ただ、内容を見ればすぐ詐欺であると分かるようなお粗末なものです。ほとんどの人は引っかかること無く削除してくれているでしょう。

ただ、このブログは情報サイトなので、いい機会だと思ってこのメールの警告と共に「どの辺りがおかしいのか」を情報の分野から解説してみたいと思います。根拠を持って「変だ!」と思えれば、今後の迷惑メールも正しく対処できるでしょう。


メールの内容

今日の「19:33」に以下のようなメールが届いていました。
このとき、Outlook2010はちゃんと迷惑メールとして処理してくれました。

迷惑メール 本文
▲クリックで拡大

【重要なお知らせ】 「社団法人日本IT調査会 和解業務執行部」様より、下記内容を特定記録メール便にて送信依頼がありましたのでご確認ください。

【日本デジタル郵便】

【送信内容】
弊社は調査業務、情報管理及び和解手続き代行等を主とした調査機関でございます。

本日ご連絡致しましたのは、現在貴方がご契約されている総合コンテンツ提供サービス会社からの再三の通告を放置し、利用料金を長期延滞している事に対して、同社が起訴準備期間に入った事を報告致します。

この通知を最終通告と致しますので、本日、当社営業時間までにご連絡が無い場合、管轄裁判所から裁判日程を決定する呼出状が発行され、記載期日に指定裁判所へ出廷となります。
尚、裁判を欠席されますと、相手方の言い分通りの判決が出され、執行官立ち会いのもと、給料、財産や不動産、有価証券等の差押えを含めた強制執行となりますので、ご注意下さい。

弊社は、今回運営会社様より和解等の最終判断を委託されましたので、双方にとってより良い解決に向かうためのご相談に乗らせて頂きます。本日弊社営業時間までに早急にお電話にてご相談ください。

最近個人情報を悪用する業者の手口も見受けられますので、万が一身に覚えのない場合でも、早急にご連絡ください。

※時間帯によって繋がりにくい場合がございますので、その際は恐れ入りますが、再度お掛け直し頂きますようお願い致します。
尚、メールでの返答には対応しておりません。ご了承下さい。

~~お問い合わせ先~~
社団法人日本IT調査会
【担当部署】和解業務執行部
【担当主任】加々美 謙一
【担当補佐】高山 正博
【担当補佐】和田山 孝輔
【電話番号】03-4588-6998
【営業時間】午前10:00~午後18:30

以上

※本メールは特定記録メール便のサービスとして、メール開封日時の記録及びメール内容の保管を日本デジタル郵便が第三者機関として行っております。
尚、本メールアドレスへの返信をされましても、特定記録メール便送信専用となりますので、当社では確認及び対応することが出来ません。
また、依頼者様へメールが転送されることもありませんので、返信はされませんようお願い申し上げます。
【日本デジタル郵便】

対策

まずは対策ですね、やることはたった1つ。

無視してゴミ箱へぽいってしてください。

この手の詐欺は、金銭を要求してくるというものよりも、個人情報を聞き出すためのメールのように思います。
メールを返信したり電話してしまったりすると、個人情報を聞かれてしまったり、返信という行為自体が「こいつはいいカモだ(詐欺が通じるメールアドレスであると裏の詐欺リストに乗ってしまう)」と思わせてしまうため、絶対に電話や返信をしてはいけません。

冷静に削除してしまいましょう。特にこのメールには添付されているコンピューターウィルスも無さそうですし。

文章部分でのつっこみ

一見するとちゃんとした日本語で書かれており「ドキッ」とするような内容ですが、しっかり読めば全くスジの通っていない内容であることが分かるかと思います。いくつかツッコんでみましょう。

※ちょっと法律のことについて話していますが、私自身そこまで詳しくはないので間違っていたらご指摘ください。

「総合コンテンツ提供サービス会社」って具体的にはどこですか?

「利用料金を長期延滞している」から「起訴」すると書いてあるのですが、原告が「総合コンテンツ提供サービス会社」というただのサービス名のみ記載されており具体的な会社名がありません。私は訴えられている側なのに誰が起訴しているのかも分からないなんて民事訴訟法の欠片もありませんね。

まあ、こちら側の「思い当たる節」を広げるために曖昧にしてるのでしょう。

最後通告とかは内容証明書付きで郵送されるはずじゃ・・・

必ずというわけではありませんが、通常裁判所へ出頭する可能性のあるような「最後通告」は内容証明書付きのような厳密な手続きをした書留が郵送されるはずです。証拠も残りますし、そうした方が訴えた側が有利になりやすいからです。

ということで、自称「社団法人」とまで言う大きな会社がメールで最後通告をするなんてこと、常識的に考えればあり得ませんよね。内容証明書は何枚も書こうとすると値段も高くなるので、少ない費用で不特定多数の人へ遅れるメールで詐欺を働きたいわけです。

今日中にって早くない?

今日中に返事しろっていうのも中々急かしてきますね。すべての人がメールを毎日見ているわけでもないのに(なので内容証明書/配達証明で郵送するのが普通)、これで明日になったら起訴するとは「最後通告」の意味がないですね。

「メール開封日時の記録」ってそんなことできるの?

できません。電子メールにそんな機能ついていません。

確かに送信側は「開封確認の要求」という設定ができますが、これを受け取った人が「開封したという返信」をしなければならず、しかもこの「開封確認メール」の返信は任意で必ず返信するという必要はありません。確認メールの送信を拒否することもできます。

つまり、正確な「メール開封日時の記録」なんてできるはずがありません。だから配達証明で(以下略

サポートの綴り間違ってない?

「suporrt@xx.ooom.asia」となっていますが、サポートの綴りは「support」では・・・

情報の分野から探りを入れてみる

では、ここからは少しテクニックを使って変なところを探ってみましょう。

メールヘッダーから調べてみる

メールには「どこから、どういった経路で、どういった形式のメールが届いたのか」などが記録されている「メールヘッダー【mail header】」と呼ばれる情報が記録されています。これが無いとメールを制御することができず、送信も受信もできなくなります。

このメールヘッダは簡単に確認できます。確認方法はメールソフトによって違うので各自調べてみてください。

Return-Path: <suporrt@xx.ooom.asia>
Delivered-To: example@mail.jp
Received: from mta1.lcv.ne.jp (mta1.lcv.ne.jp [202.122.193.3])
	by sv3.lcv.ne.jp (Postfix) with ESMTP id 3F40827F6E8
	for <example@mail.jp>; Tue, 24 Jun 2014 19:33:54 +0900 (JST)
X-IronPort-AV: E=Sophos;i="5.01,537,1399993200"; 
   d="scan'208";a="157615897"
Received: from unknown (HELO xx.ooom.asia) ([192.249.76.187])
  by mta1.lcv.ne.jp with ESMTP; 24 Jun 2014 19:33:52 +0900
Subject: =?ISO-2022-JP?B?gXmT+pZ7g2aDV4Neg4uXWJXWgXqTwZLoi0yYXoOBgVuDi5XW?=
From: suporrt@xx.ooom.asia
To: example@mail.jp
Message-ID: 20140624193332
Content-Type: text/plain; charset="SHIFT_JIS"
Content-Transfer-Encoding: 7bit
MIME-Version: 1.0

以上がこのメールのメールヘッダーです。(example@mail.jpだけは仮のメールアドレスです)
一応、重要となる部分は簡単な解説をいれます。詳細な読み方は下記のサイトを参考にしてみてください。

「Received」でどうゆう経路で来たのか調べてみる

ここで一般的によく利用される情報は「Received」です。

この「Received」は、メールが届くまでに経由してきたメールサーバーと時刻が順に下から記録されます。つまり、読み方としては下にある「Received」から上に向かって読んでいきます。この中の「by」が受信したメールサーバー、「from」が送信したメールサーバーになります。

迷惑メールの中には、送信先を偽装して「ちゃんとしたところから送っているかのように見せかけている」ものがあります。 これではこちらに届いてきたメールアドレスだけでは判断することができません。そういった場合に「Received」を読むと、偽装前のアドレスが分かることがあり、元々のアドレスが非常に怪しいところであれば迷惑メールである可能性が高くなります。(例えば「JP(日本)」でメールが届いているのでに、メールサーバーは南アフリカ(ZA)を経由していたなど)

メールアドレスの末尾にある「トップレベルドメイン」でそれが分かるので下の表から調べてみるとよいでしょう。

ただ、今回のこのメールの場合は偽装というほどのものは無さそうです。
ドメインが最初から最後、Return-Pathまで「ooom.asia」のままだからです。(「Subject」が文字化けしているところは少し怪しいですが)
ですので、次の調査にかかってみましょう。

WHOIS情報

WHOIS情報とは、IPアドレスやドメイン名の登録者などに関する情報をインターネットユーザが誰でも参照できるサービスのことです。ドメイン名の登録者情報は公開することが義務付けられているので、ドメインを保有する人/団体などが誰でも調べられるようになっています。

ですので、ドメイン「ooom.asia」を取得した人の情報を調べてみましょう。
下のURLはすでに検索済みのURLです。

Domain ID:D3215745-ASIA
Domain Name:OOOM.ASIA
Domain Create Date:23-Jun-2014 07:47:58 UTC
Domain Expiration Date:23-Jun-2015 07:47:58 UTC
Domain Last Updated Date:23-Jun-2014 07:53:24 UTC
Last Transferred Date:
Created by:GMO Internet, Inc. d/b/a Discount-Domain.com and Onamae.com R39-ASIA
(49)
Last Updated by Registrar:GMO Internet, Inc. d/b/a Discount-Domain.com and
Onamae.com R39-ASIA (49)
Sponsoring Registrar:GMO Internet, Inc. d/b/a Discount-Domain.com and Onamae.com
R39-ASIA (49)
Domain Status:TRANSFER PROHIBITED
Status:ADDPERIOD

一部抜粋してみました。

「Created」が「GMO Internet, Inc.」、つまり「GMOインターネット株式会社」の「お名前.com(Onamae.com)」で登録されていることが分かります。登録日は「Domain Create Date:23-Jun-2014 07:47:58 UTC」で、つまり「2014年6月23日」です。結構最近ですね・・・

といいますか、メールでは何となく歴史のあるような会社のように見えますが、メールアドレスの取得はほんの数日前。会社発足から数日しかたっていないわけですね、随分仕事の早いこと。(まあ、事業引き継ぎとかなんとかでアドレスを一新した「可能性」は0ではないですけどね)

登録者情報
Billing ID:56D4F4166261ED
Billing Name:seiichi kiyota
Billing Organization:seiichi kiyota
Billing Address:Kamiyasumatsu97-5
Billing Address2:
Billing Address3:
Billing City:Tokorozawa-shi
Billing State/Province:Saitama
Billing Country/Economy:JP
Billing Postal Code:359-0025
Billing Phone:+81.0429946649
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing E-mail:server_z002@yahoo.co.jp

ここでは登録者情報もわかります。

登録者は「seiichi kiyota(キヨタ セイイチ)」。住所は「埼玉県所沢市上安松97-5」のようです。
住所ですが、調べてみると「所沢市上安松」には97丁目が存在していないようです。96 と 99 丁目はあるようです。ということで偽の住所であることが分かります。怪しさ満点です。

ドメインの不審点

メールアドレスなどの末尾にある文字列を「ドメイン」といいます。
ドメインは、国や機関/団体などによって使える文字列が異なっています。

今回のメールのトップレベルドメインは「.asia」となっています。
スポンサードトップレベルドメイン(sTLD)の一つで2006年12月7日に正式承認された比較的新しいドメインです。ICANNが指定するアジア太平洋地域に住所を持つ法人・団体・個人であれば誰でも申請可能なドメインです。

もちろん、日本も含むのでそれだけならば特段怪しいわけではないのですが・・・

今回の迷惑メールの送り主は「社団法人"日本"IT調査会」となっています。

実は「日本に住所がある社団法人、財団法人、医療法人、監査法人などの団体(組織)」にのみ取得が許されている「or.jp」というドメインがあるのです。このドメインは取得するための条件があり、それをクリアして初めて取得できるものです。そのため、このドメインを使用していれば、ドメイン名だけでその身分を表すことができます。より信用されやすくなるわけです。

もちろん、社団法人だからといって必ず取得するという義務はありません。ただ、そこまで大きな会社であるならば、特にこういった法律に関することに手を突っ込んでいる業務なら尚更「信用」には敏感にならなくてはいけないはずです。それなのにまだ普及も認知度もイマイチな「.asia」を使うのは、あまり常識的ではありません。せめて「.jp」を使うべきです。

そういった意味でも今回の迷惑メールは怪しまなくてはいけません。

まとめ

さて、いかがでしょうか。
少し技術的なところにも焦点を当てて不可解なところを探ってみました。

幸いにも偽装だとかの高度な引っ掛けはなく、比較的あっさりした迷惑メールでしたので騙される方はほとんどいらっしゃらないでしょう。ですので、このブログの教材として利用させていただきました。メール一通だけのものでしたが、やろうと思えば結構色んなことがわかります。そこを利用してやれば迷惑メールなんてほとんど見破ることができるでしょう。

ただ、基本は文面で怪しいことがわかると思いますので、今回は参考程度にどうぞ。

スポンサーリンク

Track Back

Track Back URL

Comments [9]

下記メールの送信元ドメインが「Received: from cc.xoxoxo.asia (unknown [192.249.76.52])」でした。これをWhoisで検索するとなんと登録者や住所が全く同一でした・・・


━━│━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
_人_  ☆★売り切れ必至の人気大爆発!★☆
Y   
│ 夏のボーナスキャーンペーン中!   ttp://hyperc.asia/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━Y━━

これからの季節にピッタリ!

映画・アニメ・スポーツ・音楽無料で見放題♪

今まで有料放送を契約していた人も、

これから契約したいと思っている人にも、

月々の料金が一切かかりません。

┌───────   数量限定、特別価格   ────────
| 
| ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
|   ★★★  在庫希少の為、お早めに!  ★★★
|         ttp://hyperc.asia/
└─────────────────────────────


メルマガ配信停止はこちらまで。

ttp://teisi.asia/?01

ご報告ありがとうございます。

どうやらこの方は他にも手当たり次第ドメインを登録しているようです。私のところにも同じようなメールが来ています。
ドメインは「zz.aabbcc.asia」といういい加減もいいところなやつでしたけどね(笑

当面の間は「.asia」をルールで弾いた方がいいかもしれませんね。

私の所へも何度か来ていて、やっぱりイヤな感じなので、検索してこのページにたどり着きました。
私はITにうといので、警察に相談に行った方が良いのかな、と心配でした。しかし、このページに詳しく説明されている文章を読んで、とても安心しました。 本当にありがとうございました。
これからも、私の様な人達にも分りやすく、不安を解消する情報を教えて下さいネ。 よろしくお願い致します。 ありがとうございました。

お褒めいただきありがとうございます。

このメール、亜種も含めると結構な数の報告があがっていますね。
こういったことは、私のところでも確認できた場合でないと色々解説できないのですが、もし遭遇した場合は色々書いていきたいと思います。

私も同じ迷惑メールを送りつけられ、検索でここに辿り着きました。

「メール開封日時の記録」ですが、所謂「きちんとして開封確認」機能を使わなくても
CGIを利用した画像リンクを埋め込むなどして、メールを開いたかどうかを相手側に確認されてしまうことはありえます。
HTML表示しなければ問題ありませんが。

老婆心ながら…
お目汚し失礼いたしました…

ご指摘ありがとうございます。

確かにメールとは別のプログラムを利用されてしまうと開封日送信の他にも色々できちゃいますね。
ただ、それを「法廷で使うに値する証拠」かと言われると疑問がありますので、通常はそんなことしないから怪しいメールであるという考え方もできますね。送信側も「個人情報だ!」って無理やりにでも言われてしまえば逆に訴えられる場合もあるわけですし。

というより、そこまでする人ならマルウェアの1つや2つ仕掛けられてそうで逆にそっちが怖いです(笑

我が家にも同様のメールがきました。JAPAN調査協会様から…ということでしたが。
6月中旬より、フロム欄に私のアドレスが表示されている迷惑メールが届きはじめました。
今回のこのメールもそうでしたが、2つ目のReceived: from…のForから私のアドレスが表記されています。(Windows Live Mail)
なりすましに利用されているのだろうと思うのですが、このアドレスを停止すべきかどうか考えあぐねています。一応、パスワードは変更しました。
あと、気持がわるいので、大事な登録に使用していたものは、他のアドレスへ変更しましたけどね。
もし、よろしければ、アドバイスいただけるとありがたいところです。

コメントでのご報告ありがとうございます。

自分のメールアドレスで送られてくる迷惑メールというのは結構メジャーな方法です。
受信者に驚かせて混乱を誘ったり、自分のメールアドレスということで迷惑メールフィルターを回避させるためにそういった偽装をすることがあります。送信者の名前は自由に変更することができるので送信時に名前を同一にさせることも可能です。これは送信者を偽装させているだけなので、メールアドレス自体を送信者が自由に使える状態かというとそうではないことの方が多いです。

なので、パスワード等を変更した後は基本はそのまま使って頂いても基本は大丈夫です。ただ、アドレス自体は迷惑メール業者に知られている可能性があるので変更できるのであれば変更したほうがよいとは思います。次回変更するときは、なるべく予測されづらいものにすると迷惑メールの数が減ってくるかと思います。

アドバイスありがとうございました。とても助かりました。
これからも、いろいろなトラブル疑問が出てくると思います。こちらのサイトをのぞかせていただきながら私も勉強していきたいと思います。

コメントする

非公開。必須ではありません。

(いくつかのHTMLタグ(a, strong, ul, ol, liなど)が使えます)

このページの上部へ

サイト内検索

広告

最近のコメント

Powered by Movable Type 6.3.2