• 木. 11月 21st, 2024

~下町物語~

入り組んだ現代社会に鋭いメスを入れ、おもしろおかしく書く綴るブログである。

ディスるネタ >【三菱東京UFJ銀行】本人認証サービス

アバター画像

Byrurineko

10月 1, 2014
この記事を読む およそ時間 2

スパムメールを晒しディスるネタとなります。
ネットワーク時業者など実名でディスります。

転載不可の指定が無い限り、問い合わせの回答もそのまま掲載します。
こういうメールは本当に辞めてほしいですね。

ヘッダー情報
—————————————————
Return-Path:
X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on mx.hogehoge.com
X-Spam-Level: *********
X-Spam-Status: No, score=9.0 required=13.0 tests=BAYES_50,CONTENT_TYPE_PRESENT, FORGED_OUTLOOK_HTML,HTML_MESSAGE,HTTPS_HTTP_MISMATCH,JPSCAMTEL, MIME_BASE64_BLANKS,MIME_HTML_ONLY,NO_RECEIVED,NO_RELAYS,URIBL_BLACK,UTF8 autolearn=no version=3.3.1
X-Original-To: tachibana@hogehoge.com
Delivered-To: tachibana@hogehoge.com
X-Virus-Scanned: amavisd-new at hogehoge.com
X-DomainKeys: Sendmail DomainKeys Filter v1.0.1 mx.hogehoge.com E1826708002
Message-ID: <5A211B0B367A7D9CAD4CF702422E104A@spfqork>
X-DomainKeys: Sendmail DomainKeys Filter v1.0.1 mx.hogehoge.com B3718648001
From: 三菱東京UFJ銀行
To:
Subject: 【三菱東京UFJ銀行】本人認証サービス
Date: Tue, 30 Sep 2014 14:18:25 +0800
MIME-Version: 1.0
Content-Type: text/html; charset=”utf-8″
Content-Transfer-Encoding: base64
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512
—————————————————

本文
—————————————————
こんにちは!
最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、利用者の個人情報漏洩事件が起こりました。
お客様のアカウントの安全性を保つために、「三菱東京UFJ銀行システム」がアップグレードされましたが、お客様はアカウントが凍結されないように直ちにご登録のうえご確認ください。

以下のページより登録を続けてください。

https://entry11.bk.mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001

—————————————————

こういうスパムメールがきたぁ。

突っ込み所満載ですよねぇ。

>こんにちわ
このような事件が起こっている状況で、こんにちわ!ってないだろう!!
普通・・・。

>最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、利用者の個人情報漏洩事件が起こりました。

これが本当なら、大ニュースになっているだろう。

ネットショップの一部により、そこから個人情報が漏れたということなら
少しは分かるが、それにしても
それが、東京三菱UFJ銀行の本人認証サービスを使っているとは到底分からないだろう。

ヘッダーがおかしいよ!
メールのtoが架空To: こんなアドレス持ってないし。

fromもおかしい。→From: 三菱東京UFJ銀行
こんなアドレスねーよ!mufg.jpから来るなら分かるが・・・。
偽装するならもう少しましに偽装しろよ。

しかも、htmlで見るとついおしたくなるURLだけど
メーラはテキスト表示速攻分かる。アンカータグで別サイトがURLで貼られていることが・・・。

https://entry11.bk.mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001

○ログインIDとパスワードを盗みだそうとしているドメイン情報

HMKJLASER.COM

Domain Name:hmkjlaser.com
Registry Domain ID:
Registrar WHOIS Server:whois.paycenter.com.cn
Registrar URL:http://www.xinnet.com
Updated Date:2013-08-08 22:05:20
Creation Date:2013-08-08 22:05:20
Registrar Registration Expiration Date:2016-08-08 22:05:20
Registrar:XINNET TECHNOLOGY CORPORATION
Registrar IANA ID:120
Registrar Abuse Contact Email:supervision@xinnet.com
Registrar Abuse Contact Phone:+86.1087128064
Domain Status:ok
Registry Registrant ID:
Registrant Name:GuoLiang Yang
Registrant Organization:Beijing Huamei Huichen Technology Development Co., Ltd.
Registrant Street:Changping District Xiguan Huandao amber County 715 building A
Registrant City:shixiaqu
Registrant State/Province:beijingshi
Registrant Postal Code:100043
Registrant Country:China
Registrant Phone:+086.010 68667720
Registrant Phone Ext:
Registrant Fax:+086.010 68667720
Registrant Fax Ext:
Registrant Email:yangguoliangs@163.com
Registry Admin ID:
Admin Name:GuoLiang Yang
Admin Organization:Beijing Huamei Huichen Technology Development Co., Ltd.
Admin Street:Changping District Xiguan Huandao amber County 715 building A
Admin City:shixiaqu
Admin State/Province:beijingshi
Admin PostalCode:100043
Admin Country:China
Admin Phone:+086.010 68667720
Admin Phone Ext:
Admin Fax:+086.010 68667720
Admin Fax Ext:
Admin Email:yangguoliangs@163.com
Registry Tech ID:
Tech Name:GuoLiang Yang
Tech Organization:Beijing Huamei Huichen Technology Development Co., Ltd.
Tech Street:Changping District Xiguan Huandao amber County 715 building A
Tech City:shixiaqu
Tech State/Province:beijingshi
Tech PostalCode:100043
Tech Country:China
Tech Phone:+086.010 68667720
Tech Phone Ext:
Tech Fax:+086.010 68667720
Tech Fax Ext:
Tech Email:yangguoliangs@163.com
Name Server:ns11.xincache.com
Name Server:ns12.xincache.com
DNSSEC:unsigned

○サーバの所在地
国名 :CHINA
地域名:BEIJING
都市名:BEIJING

○踏み台サーバのIP:114.112.59.213

○実際にProxyを使ってアクセス
上記ドメインからさらにリダイレクトされて
サーバーが見つかりませんでした

○もっと詳細な情報が取れるのが、まあ今のシステムの利点なのね

[root@mx log]# cat maillog | grep 5A211B0B367A7D9CAD4CF702422E104A
Sep 30 15:18:42 mx postfix/cleanup[5448]: B3718648001: message-id=<5A211B0B367A7D9CAD4CF702422E104A@spfqork>
Sep 30 15:18:42 mx postfix/cleanup[5448]: E1826708002: message-id=<5A211B0B367A7D9CAD4CF702422E104A@spfqork>
Sep 30 15:18:42 mx amavis[5044]: (05044-10) Passed CLEAN, [210.198.22.10] -> , Message-ID: <5A211B0B367A7D9CAD4CF702422E104A@spfqork>, mail_id: N1MCSB6+9Q0n, Hits: -, size: 13665, queued_as: E1826708002, 173 ms
Sep 30 15:18:42 mx spamd[3182]: spamd: processing message <5A211B0B367A7D9CAD4CF702422E104A@spfqork> for tachibana:502
Sep 30 15:18:46 mx spamd[3182]: spamd: result: . 9 – BAYES_50,CONTENT_TYPE_PRESENT,FORGED_OUTLOOK_HTML,HTML_MESSAGE,HTTPS_HTTP_MISMATCH,JPSCAMTEL,MIME_BASE64_BLANKS,MIME_HTML_ONLY,NO_RECEIVED,NO_RELAYS,URIBL_BLACK,UTF8 scantime=4.0,size=13769,user=tachibana,uid=502,required_score=13.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=51255,mid=<5A211B0B367A7D9CAD4CF702422E104A@spfqork>,bayes=0.500001,autolearn=no

○こいつ下記IPを使って投げ込んで来たということが分かる。
210.198.22.10

株式会社まほろば工房という所が持っているIPということが判明!!
ここに契約している会社のいずれかの会社より送信されたと思われるので
下記に対してユーザを特定して、アカウント停止の措置を依頼することにしましょうか。

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 210.198.22.0/24
b. [ネットワーク名] MAHOROBA-NET
f. [組織名] 株式会社まほろば工房
g. [Organization] Mahoroba Kobo,Inc.
m. [管理者連絡窓口] JP00049235
n. [技術連絡担当者] JP00049235
p. [ネームサーバ] ns1.ate-mahoroba.jp
p. [ネームサーバ] ns2.ate-mahoroba.jp
[割当年月日] 2013/07/29
[返却年月日]
[最終更新] 2013/07/29 21:05:03(JST)

上位情報
———-
株式会社シーイーシー (ComputerEngineering&Consulting,Ltd.)
[割り振り] 210.198.16.0/20

下位情報
———-
該当するデータがありません。

○結果
株式会社まほろば工房にクレームの連絡を入れました。
誠意ある対応を行って頂きたいですね。

■ お問い合わせ内容の確認
送信が完了しました。
弊社担当よりご連絡させていただきますので、少々お待ちください。

○結論
まほろば工房近藤でございます。
この度は、ご迷惑をおかけしておりまして申し訳ございません。

弊社メールサーバの一部の設定不具合により、メールの中継が許可されており
SPAMメールを中継する形となってしまいました。

中継は、14:47に中継が開始され、15時過ぎに問題に気付き、15:44を最後に
中継を全てストップしております。
御迷惑をお掛けしましたこと深くお詫びいたします。

との結論でした。

Translate »