詐欺メールから見える日本人と中国人のビジネスの違い

IT

三井住友銀行を名乗る詐欺メールが来ました。タイトルは"xxx@xxx.xxx暗証カードを再発行する!"となっています。本文は以下の通りです。

三井住友銀行ではすでに詐欺メールについて公式に案内を出しています。
そのメール、本物ですか?そのホームページ、本物ですか?


三井住友銀行ではインターネットバンキングで口座確認、振り込みなどができます。

インターネットバンキングではあらかじめ次の3つの情報を受け取ります。

  • 契約者番号
  • 第一暗証番号
  • 16個の番号が記載されたカード(第二暗証番号)
  • 上記16個のうちの一つから指定されている第三暗証番号

インターネットバンキングを使うための手順はどうなっているのでしょう。

  • 契約者番号の入力
  • 第一暗証番号の入力
  • 振り込みなどをするときにはあらかじめ受け取っていたカードに記載されている16個の数字のいづれかからランダムに指定された2つを入力します(第二暗証番号)。
  • 初めての振込先などではさらに第三暗証番号を入力します。

このような手順を踏むことにより第一暗証番号が漏れたとしてもカードがなければ手続きができなません。さらに第一暗証番号とカードが取れたとしても、第三暗証番号は記憶の中にしかないので、新規の手続きなどができません。セキュリティの強さと使い勝手は比較的バランスが取れています。

さてこのメールについて少し見てみます。

まず件名を確認します。

xxx@xxx.xxx暗証カードを再発行する!

xxx@xxx.xxxにはこちらのメールアドレスが入っています。なんでお客様の名前でなくメールアドレスを記載しているのか。"暗証カードを再発行する!"タイトルがなんか上から目線の命令形でやたら偉そう。もうこの時点で詐欺メール認定できるし、発行元は日本人ではないことが推測されます。

次に本文を確認してみる。文章は比較的まともな気がします。ただしこちらもいくつか変な文章。

  • 三井住友銀行ご利用の佐藤客様へ (佐藤は仮名)
  • 送信お願いします。
  • 現在の確認番号カードをお使いください。

メールヘッダを確認してみます。

Return-Path:
Authentication-Results: localhost; spf=none smtp.mailfrom=zccomp@public.wfptt.sd.cn; dkim=none
Received: from a04.bdchina.com (a04.bdchina.com [218.57.22.51]) by
Received: from [58.86.63.253] by a05.bdchina.com
Sender: zccomp@public.wfptt.sd.cn

ドメインは中国でした。三井住友銀行も事務処理を中国に移転したのでしょうか,,,

この時点でメールは削除すべきです。今回はどんな詐欺サイトにつながっているかを確認してみたかったので、メールのリンク先にアクセスしてみました。ここから先は実践しないでくださいね。


リンク先は以下のようなアドレスになっています。

http://smbc-tokyo.s.3322.net/Reg.aspx

まずドメインを管理しているのがどのようなISPかを確認するために3322.netについてのwhois情報を確認してみます。

Registrant:
Changzhou Subfamily Technology Co., Ltd. +86.051986613399 +86.051986613399

Changzhou Subfamily Technology Co., Ltd.
1406, Yinyuan Building
Changzhou,Jiangsu,CN 213002

Domain Name:3322.net
Record last updated at
Record created on 1999/11/28
Record expired on 11/28/2012

Domain servers in listed order:
ns.cn99.com ns2.cn99.com

やはり中国のようですが、レジストが1999年ということからこの会社自体は正規である可能性が高いようです。

実際にどのような会社であるかを確認してみるためにhttp://www.3322.netにアクセスしてみます。

中国語がよくわからないのですが、ISPというよりはドメインを管理しているか会社のようです。ということはこのドメイン名自体がダミーで別のサイトに飛ばされている可能性があります。

どこに飛ばされているかを確認するためにpingIPアドレスを確認してみました。

ping smbc-tokyo.s.3322.net
Pinging smbc-tokyo.s.3322.net [199.192.157.114] with 32 bytes of data:

このIPアドレスがどの地域のサーバーに設定されているかを確認してみます。

IP address [?]: 199.192.157.114 [Whois] [Reverse IP]
IP country code: US
IP address country: ip address flagUnited States
IP address state: California
IP address city: Fremont
IP postcode: 94536
IP address latitude: 37.5670
IP address longitude: -121.9829
ISP of this IP [?]: VPS21
Organization: VPS21
Local time in United States: 2011-11-03 18:39

サーバーはUSのカリフォルニアにあるようですね。このサーバーを管理している会社を確認するためにwhoisを取ってみます。

NetRange: 199.192.152.0 - 199.192.159.255
CIDR: 199.192.152.0/21
OriginAS: AS53935, AS6939

OrgName: VPS21 LTD
Address: 38958 S FREMONT BLVD
City: FREMONT
StateProv: CA
PostalCode: 94536
Country: US

OrgTechHandle: ZOUJI-ARIN
OrgTechName: zou, jinhe

おや担当者の名前が中国系のような気がします。このサイトにアクセスしてみました。

うーむ中国人おそるべしです。例えると日本人が海外で日本語でホスティングのサービスを提供しているのと同じです。環境の違いもあるとは思いますが、このようにビジネスを広げていくというのは見習うべき点があります。