「えきねっとアカウントの自動退会処理について」は詐欺メールだった件

皆さん「えきねっと」ってご存じですか?
ピーマンは知らなかったんですけど、調べてみるとえきねっとは、東日本旅客鉄道(JR東日本)が提供する、インターネット上での指定券予約サービス及び旅の情報などのインターネットサービスを提供するウェブサイトなんだそうです。

その「えきねっと」から「えきねっとアカウントの自動退会処理について」という迷惑メールが届きました。

知らないサービスから退会のお知らせ…なんなのでしょうか?

スポンサーリンク

えきねっとアカウントの自動退会処理について

えきねっとから届いたメールは以下のような内容でした。

えきねっとアカウントの自動退会処理について

ちょっと調べてみたところ、この迷惑メールは昨年の2月頃から流布されているらしく、かれこれ1年以上も続く息の長い迷惑メールのようでした。

下のようなえきねっとの迷惑メールも来ています。

[ad]

リンクをクリックしてみる

リンクは「ログインはこちら」の1カ所のみです。
このリンクのアドレスは「https://www.eki-net.com.gpzixund.com/」となっています。
eki-netが入っているので勘違いしやすいですが、えきねっととは関係の無いアドレスなのでしょう。

リンクをクリックすると以下のようなフィッシングサイトに移動します。
正式なえきねっとのログイン画面と酷似していますがニセモノです。
ちなみに正式なログイン画面のアドレスは「https://www.eki-net.com/Personal/member/wb/Login/Login」となっています。

  • 正 https://www.eki-net.com/Personal/member/wb/Login/Login
  • 偽 https://www.eki-net.com.gpzixund.com/

www.eki-net.comが入っていますが、全体は全然違うアドレスです。

偽のえきねっとログイン画面

不思議なことに2月27日現在、このフィッシングサイトは閉鎖されたみたいでアクセスしてもページが見つからないようになっています。26日は稼働していたのですがどうしたのでしょうか?

このサイトにアクセスできません

[ad]

発信元を調べる

では、この迷惑メールがどこから発信されているのでしょうか。

メールヘッダを表示させてみます。

“Eki-net.com” <no-reply@shwum.com>
えきねっとアカウントの自動退会処理について
宛先:●●●@●●●
Mime-Version:1.0
Content-Type:multipart/related; type=”multipart/alternative”;

中略

Return-Path:<no-reply@shwum.com>
X-Antivirus:avast (VPS 22022504)
Received:(qmail 29552 invoked from network); 26 Feb 2022 11:04:20 +0900
Received:from unknown (HELO mgw.zenno.net) (192.168.0.146) by msv2.zenno.net with SMTP; 26 Feb 2022 11:04:20 +0900
Received:from shwum.com (shwum.com [173.82.255.238]) by mgw.zenno.net (Postfix) with ESMTP id A64FD2F65F for <●●●@●●●>; Sat, 26 Feb 2022 11:04:20 +0900 (JST)
Received:from fafk (unknown [1.199.178.129]) by shwum.com (Postfix) with ESMTPA id 49F18E6A02 for <●●●@●●●>; Sat, 26 Feb 2022 10:04:18 +0800 (CST)
<20220226100418424747@shwum.com>
X-Antivirus-Status:Clean
Delivered-To:●●●@●●●

発信者のメールアドレスはReturn-Pathより「no-reply@shwum.com」のようですが、真偽の程は不明です。

どこから発信されたか確認のために、一番最初にあるIPアドレス「1.199.178.129」をこれまた住所検索してみたところ「中華人民共和国 河南省 鄭州市 金水区」という結果でした。

中国ですね。

中華人民共和国 河南省 鄭州市 金水区

その次のIPアドレス「173.82.255.238」これは中継サーバーだと思うのですが、これの所在地はよく出てくる米国のカンザス州チーニー貯水池でした。水冷のサーバーなのか??

米国のカンザス州チーニー貯水池

[ad]

結論:えきねっとアカウントの自動退会処理については詐欺メール

JR東日本に関連するインターネットサービスが中国と関係がるとも思えませんし、ログインページのアドレスが違っていることと考え合わせると間違いなく詐欺メールでしょう。

国立大学法人 電気通信大学 情報基盤センターからも「えきねっとを騙る詐欺メールに関する注意喚起」がでています。

どうか皆様もこんな詐欺メールに引っかからないようにお気を付け下さい。

コメント

タイトルとURLをコピーしました