So-net無料ブログ作成

クロネコヤマトを騙るウィルスメール [spam]

6月29日早朝、送信元(From:)をクロネコヤマトのメールアドレスに偽装した、添付ファイル付きのスパムメールが僕のODNの方のメールアドレスに届きました。僕はメールをソネットに転送するよう設定しているので、受信自体はソネットの方のアドレスで行いましたが。

以下にメールヘッダの一部も含めて転載します。なお、メールヘッダ内の僕のメールアドレスやODNのサーバは伏せさせて頂いてますが、本文は何も伏せていません(「品名」はメールに記載されているそのままです)。


X-MSK: 2BIG
Return-Path: <determining892@kub.biglobe.ne.jp>
Received: from [61.205.123.217] (61.205.123.217)
  by *****.*****.odn.ne.jp (*.*.***.**.**)
  id 577206BE0020A238
  for *****@*****.odn.ne.jp;
  Wed, 29 Jun 2016 06:09:22 +0900
Received: from ymgbvsrbfeduu.bfbc.info (ymgbvsrbfeduu.bfbc.info [217.169.188.107])
  by ymgbvsrbfeduu.bfbc.info
  with ESMTP
  id 7E5F9A0D67;
  Wed, 29 Jun 2016 05:46:01 +0900
Received: from [193.29.63.188] (account fineoze1@eonet.ne.jp HELO ymgbvsrbfeduu.bfbc.info)
  by (Postfix) with
  ESMTPA id
  6856FCDa for *****@*****.odn.ne.jp; Wed, 29 Jun 2016 05:46:01 +0900
Authentication-Results: so-net.ne.jp; spf=softfail smtp.mailfrom=determining892@kub.biglobe.ne.jp;
  dkim=none; dkim-adsp=none header.from=mail@kuronekoyamato.co.jp;
  dmarc=none header.from=mail@kuronekoyamato.co.jp
From: <mail@kuronekoyamato.co.jp>
To: <*****@*****.odn.ne.jp>
Subject: 宅急便お届けのお知らせ
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="=-TKE--tyB4D6bGrq7BOgwwKsDStTnLzQp9rlBWqOZBUTt8LI"
Message-ID: <d1cfc192a6dffc7c5.3e6b7a@ymgbvsrbfeduu.bfbc.info>
X-PHP-Originating-Script: 523:MailSend.php
Date: Wed, 29 Jun 2016 05:46:01 +0900


■お届け予定日時
6月30日 時間帯希望なし

※お届け予定日時につきましては、ゴルフ・スキー・空港宅急便(施設宛)の場合、プレー日(搭乗日)を表示しております。

■品名:****************
■商品名:宅急便
■ご依頼主:
■伝票番号:6459-6380-8936

ヤマト運輸株式会社


Content-Type: application/zip; name="YVFQIR QU3JLSY.zip"
Content-Transfer-Encoding: base64
Content-ID: <007301d1d1c9$84c0e200$560aa8c0@3K2M6IXM>




このウィルスメールは送信元アドレス(From:)を偽装しているため、ヤマト運輸が公表している「ヤマト運輸の社名もしくは類似名称を名乗る迷惑メールについて」の2016年6月29日午前10時現在の記述、ヤマト運輸から発信されるメールのアドレスは「●●●@kuronekoyamato.co.jp」となっており、内容は原則としてお荷物のお届けに関するお知らせおよび新商品・新サービスのご案内などになります。を回避してしまっています。

しかし、メールヘッダをよく見ると、Return-Path:が本物のヤマト運輸のメールにあるものと全く異なる、Received:に「kuronekoyamato.co.jp」がひとつもない、Message-ID:が「kuronekoyamato.co.jp」を含まない、などの特徴があります。

何より、zipファイルが添付されているというのが本物のヤマト運輸のメールと大きく違っている異常な点なので、見分けるのは容易だと思います。ヤマト運輸からのお届けメールにはzipファイルは添付されませんから、添付ファイルがあるという時点でウィルスメールと確定できます。

(6月29日 午後5時35分追記)
ヤマト運輸からも「「お届け予定eメール」を装った不審メールにご注意ください」という、注意を喚起する発表がありました。



nice!(40)  コメント(10)  トラックバック(0) 
共通テーマ:パソコン・インターネット

nice! 40

コメント 10

たくじい

うちにも全く同様のめーるがきたよ
by たくじい (2016-06-29 15:34) 

松永洋介

きょう6/29うちにも何通か来たので、ヤマト運輸に知らせたら、既に調査中とのことでした。
by 松永洋介 (2016-06-29 17:18) 

(た)

たくじいさん、ありがとうございます。

たくじいさんのところにも来たんですか。ニセのメールとすぐ判るとはいえ、こういうメールが来るのは気分が悪いですよね。
by (た) (2016-06-29 17:32) 

(た)

松永洋介さん、ありがとうございます。

何通もですか。スパムメールは同じものが一気にたくさん来ることが多いですね。

>ヤマト運輸に知らせたら、既に調査中とのことでした。
先ほどホームページを見てみたら、さっそく告知が上がっていたので、本文に追記しました。迅速な調査はありがたいです。
by (た) (2016-06-29 17:38) 

なんだかなぁ〜!! 横 濱男

2年前に、偽SAGAWA急便から、携帯に来ました。
もし良ければ、見て下さい。
http://takoyqki-2010.blog.so-net.ne.jp/2014-06-24
by なんだかなぁ〜!! 横 濱男 (2016-06-29 20:48) 

(た)

なんだかなぁ〜!! 横 濱男さん、ありがとうございます。
ご紹介の記事、拝見しました。ツッコミどころの多いスパムメールだったみたいですね。

クロネコヤマトを騙るメールも、少し前まではご紹介下さったのと同様にメール本文内に張ったリンクをクリックさせようとするものが多かったんですが、今回のメールはタイトルも本文の書式も、クロネコヤマトから届く本物のメールに沿っているのが新しいです。送信元も本物と同じに偽装しているので、より悪質だと思います。
by (た) (2016-06-29 21:02) 

yossy

(た)さんこんばんは☆ (^^

大変でしたね^^;
ウチはヤフーのブロック機能を使ったら一通も来なくなりました。
判別力も優れていて助かっています。

そう言えばつい最近「点検詐欺業者」が来訪しました。
管理会社関係を名乗っていましたが…
①身分証明書無し
②こちらの名前&電話番号さえ知らず
③管理会社に確認をしますと言ったらゴネる
④それらしい恰好をしている
とにかくしつこく「入れて下さい」と20分近くねばられました…

連絡もなくいきなり来る点検業者には気をつけて下さい^^;
by yossy (2016-06-30 01:31) 

(た)

yossyさん、おはようございます♪ ありがとうございます。

>大変でしたね^^;
本物のお届けメールと並んでやって来たので、「なんだこりゃ!?」でしたw

>ヤフーのブロック機能を使ったら一通も来なくなりました。
うちも、この後に1通来ただけで収まってます。ソネットも対応してくれたのかもしれないです。後から来たその1通ではマカフィーのウィルススキャンが作動して添付ファイルを削除してくれてました。
ただ、その後から来た方はメールヘッダの偽装が進歩していて、Return-Path:、Received:、Message-ID:にそれぞれ「kuronekoyamato.co.jp」がある状態になっていました。まあ、それでもReturn-Path:のアドレスが本物とは全く違うんですけれども。

>そう言えばつい最近「点検詐欺業者」が来訪しました。
>とにかくしつこく「入れて下さい」と20分近くねばられました…
粘られるのは本当に閉口しますね。20分ですか…。撃退、お疲れ様でした。

>連絡もなくいきなり来る点検業者には気をつけて下さい^^;
いきなり訪問セールスするこの手の業者にろくな業者はないですよね。改めて気を付けます。お気遣い、ありがとうございます!
by (た) (2016-06-30 10:07) 

ももんが

うちのODNのメールサーバにも同じものが本日来ました。
ODNのメールはこういうのが多い気がする。
っていうかODN以外のメールには来たことがない。
by ももんが (2016-07-12 19:13) 

(た)

ももんがさん、ありがとうございます。
ももんがさんのところにも来ましたか。対処、おつかれさまでした。

>ODNのメールはこういうのが多い気がする。
やはりそう感じられますか。
うちもスパムメールはODNに来る方が圧倒的に多いです。
by (た) (2016-07-12 19:20) 

コメントを書く

お名前:[必須]
URL:
コメント:
画像認証:
下の画像に表示されている文字を入力してください。

Facebook コメント

トラックバック 0