ヨドバシ・ドット・コム：カード情報更新のお知らせは詐欺メールだった件

株式会社ヨドバシカメラのインターネットサイト「ヨドバシ・ドット・コム」を装った不審なメールが受信ボックしに入っていました。以前にもヨドバシを騙る詐欺メールはありましたが、新手が現れたようです。

ヨドバシ・ドット・コムといえば知る人ぞ知るというかみんな知ってる、豊富な品揃え、快適なサービスを、便利なインターネットからご提供してくれるオンラインショップですよね。
ヨドバシ・ドット・コムは利用している人多いのではないですか？ピーマンが使っているくらいですから。

ただ、ヨドバシのカードは持っていないし購入時も会員登録はしないまま手続きしているのでカード情報があるわけないんですけどね。

この時点でこのメールもガチで詐欺メールですわ。

ヨドバシ・ドット・コム：カード情報更新のお知らせ

ヨドバシカード所有者ならちょっとは気にするであろう詐欺メールの内容と体裁です。
これ以外にも変種が出回っている可能性もありますので一例とお考えください。

内容的には詐欺メールには良くある内容ですね。
「カード情報がおかしいから個人情報を再度入力してくれ」と促してきます。
やらないとアカウントロックだよと脅迫めいたことも書いてありますが偽メールですから無責任に何でも書けます。このような内容を入れておけば慌てて個人情報を入力してくれるだろうとでも思っているんですかね？

リンクをクリックしてみる

いつものようにリンクをクリックしてみましょう。

リンクは、

• https// www.yodobashi.com/info
• info@yodobashi.com

の2カ所です。
その上の受信者のメールアドレス（漏れてるんだ）はクリックすると新規メールが立ち上がるので詐欺とは無関係です。

どちらもリンク先として設定してあるのはhttps://blush.nn973.cn/kneeとなってて、表記とは異なっています。

また「cnドメイン」が顔をのぞかせています。
cnドメインは過去にも書きましたが、中国に割り当てられているccTLD（国別トップレベルドメイン）です。
cnを見たら泥棒と思えといった趣のドメインですのでかかわらないのが賢明です。

では、https// www.yodobashi.com/infoをクリックしてみます。
すると…とりあえずブラウザ（chrome）が接続を拒否してくれます。偽のサイトだとのことです。

ここをすり抜けた場合なんですが、サーバーは動いているけどフィッシングサイトそのものは稼働していないようでした。
どちらにしろ、このリンクはクリックしないのが一番です。

サーバー所在地

このフィッシングサイトのサーバー所在地ですが、検索してみたところJCOMの詐欺メールにもでてきた
「アメリカ合衆国 カリフォルニア州 ロサンゼルス ダウンタウン」となりました。詐欺の巣窟というより同一人物がいろいろやっているような感じがします。実際はどうなのでしょうかね、チームを組んでたりして。

発信元を調べる

この迷惑な詐欺メールの発信元はどこの誰なのか？
詐欺メールがどこから発信されたのか調べてみましょう。
まずメールヘッダの該当部分を表示させてみます。

Return-Path:<no-reply7@gs215.cn>

Return-Pathを見ると発信者のメールアドレスは「noreply@gs215.cn」のようです。
住所検索してみると住所不明との結果が出ました。適当なのかもしれません。

Return-Pathに記載されるメールアドレスは、配信エラー時にエラーメールの差し戻し先となるメールアドレスで、送信元とは別のメールアドレスを指定できるため偽装が可能なのであまり信用はできません。

念のためIPアドレスでの住所検索もしてみました。

Received:from lxbc (unknown [121.8.12.27]) by mail.gs215.cn (Postfix) with ESMTPA id D09EE27F31F7 for <koumori@pop.707.to>; Tue, 23 Aug 2022 09:08:01 +0900 (KST)

最初に出てくるReceivedの行にある太字部分「121.8.12.27」がIPアドレスのようですので住所検索してみたところ「中華人民共和国 広東省」という結果でした。詐欺メールのほとんどが共産圏の国からなのはどうしてかな〜。