元旦にこのようなメールが届きました。
とうやら、ETCカードと口座が凍結されたようだ。
From: etc-meisai <etc-meisai@fevcvxs.cn>
Subject: 【ETC】重要なお知らせ
Date: Sun, 01 Jan 2023 20:41:04 +0800
ETCザービスをご利用いただきありがとうございます。
フィッシングメールが汇濫し、ユーザーの財産に被害が出ていることから、システムのリスク管理を強化し、警察や銀行と協力して、ユーザーの財産が被害を受けないようにしている。
システムの指示を受けた后、口座の使用を一時停止し、警視庁特殊詐欺担当に通知し、銀行にクレジットカードとカードの凍結を通知します。
警視庁の許欺部門が捜査に入りますメールを受け取ったユーザーは、あなたのアカウントにリスクがあることを示すメールを受信してから12時間以内にログインしてアカウントを確認してください。そうしないとETCアカウント、クレジットカード、銀行を利用できなくなります。
これをクリックして検証ご不便やご心配をおかけしたことを深くお诧び申し上げます。ご理解ありがとうございます。
引き続きサービスをご利用いただきたい場合は、下記リンクより詳細をご確認ください。
https://mtocgra.cn?Rfunccode=1013000000&nextfunc=1013000000
※このメールに心当たりのないかたは、恐れ入りますがETCウェブサイトよりお問い合わせください。
━━━━━━━
■発行者
━━━━━━━
ETC利用照会サービス事務局
ヘッダーを確認してみると、こうなっていた。
Return-Path: <etc-meisai@fevcvxs.cn>
Delivered-To: rohhie@rohhie.net
Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=117.50.174.153; helo=fevcvxs.cn; envelope-from=etc-meisai@fevcvxs.cn; receiver=<UNKNOWN>
Received: from fevcvxs.cn (tkoviax.cn [117.50.174.153])
by ***.rohhie.net (Postfix) with ESMTPS id 5799452000E
for <rohhie@rohhie.net>; Sun, 1 Jan 2023 22:22:02 +0900 (JST)
Content-Type: text/html; charset="utf-8"
MIME-Version: 1.0
Content-Transfer-Encoding: base64
From: =?utf-8?q?etc-meisai?= <etc-meisai@fevcvxs.cn>
Subject: =?utf-8?b?44CQRVRD44CR6YeN6KaB44Gq44GK55+l44KJ44Gb?=
Date: Sun, 01 Jan 2023 20:41:04 +0800
To: rohhie@rohhie.net
SPFがパスしてる。このメールサーバーから送られているメールは、手元に届いている可能性が高いなー。
調べてみる
結論からすると、ETCの運営に関わるものは何も見つからなかった。
送信元のメールサーバー
ログを見てみると、メールが届く前に2度ほど挑戦されているらしい。
3度目にようやく受け取った、ということだ。
$ grep 117\.50\.174\.153 /var/log/mail.log
Jan 1 21:52:31 *** postfix/smtpd[147878]: connect from tkoviax.cn[117.50.174.153]
Jan 1 21:57:31 *** postfix/smtpd[147878]: timeout after CONNECT from tkoviax.cn[117.50.174.153]
Jan 1 21:57:31 *** postfix/smtpd[147878]: disconnect from tkoviax.cn[117.50.174.153] commands=0/0
Jan 1 22:11:55 *** postfix/smtpd[147878]: warning: hostname amao64.shop does not resolve to address 117.50.174.153: Name or service not known
Jan 1 22:11:55 *** postfix/smtpd[147878]: connect from unknown[117.50.174.153]
Jan 1 22:11:57 *** postfix/smtpd[147878]: NOQUEUE: reject: RCPT from unknown[117.50.174.153]: ***
Jan 1 22:11:58 *** postfix/smtpd[147878]: disconnect from unknown[117.50.174.153] ehlo=2 starttls=1 mail=1 rcpt=0/1 quit=1 commands=5/6
Jan 1 22:22:00 *** postfix/smtpd[148083]: connect from tkoviax.cn[117.50.174.153]
Jan 1 22:22:04 *** policyd-spf[148137]: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=117.50.174.153; helo=fevcvxs.cn; envelope-from=etc-meisai@fevcvxs.cn; receiver=<UNKNOWN>
Jan 1 22:22:04 *** postfix/smtpd[148083]: 5799452000E: client=tkoviax.cn[117.50.174.153]
Jan 1 22:22:24 *** postfix/smtpd[148083]: disconnect from tkoviax.cn[117.50.174.153] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7ちょっとDNSに聞いてみよう。
$ dig -x 117.50.174.153
…
;; ANSWER SECTION:
153.174.50.117.in-addr.arpa. 120 IN PTR amao64.shop.
153.174.50.117.in-addr.arpa. 120 IN PTR tkoviax.cn.
…
$ dig tkoviax.cn -t any ← AとTXTを聞いた後に実行
…
;; ANSWER SECTION:
tkoviax.cn. 597 IN TXT "v=spf1 ip4:117.50.174.153 -all"
tkoviax.cn. 594 IN A 117.50.174.153
tkoviax.cn. 3583 IN HINFO "RFC8482" ""
…
$ dig amao64.shop -t a
→ 解決できない。whoisサーバーにも聞いてみよう。
$ whois tkoviax.cn
Domain Name: tkoviax.cn
ROID: 20220311s10001s47012506-cn
Domain Status: ok
Registrant: * **
Registrant Contact Email: 99339**@gmail.com
Sponsoring Registrar: 阿里云计算有限公司(万网)
Name Server: dns4.hichina.com
Name Server: dns3.hichina.com
Registration Time: 2022-03-11 12:25:57
Expiration Time: 2023-03-11 12:25:57
DNSSEC: unsignedGoogleのアカウントって、数字だけでも作ることができるのかー、知らなかった。
それと、登録者や、登録した人の住所・電話番号とかは教えてくれないんだなと思った。ウチのもプライバシープロテクションが掛かっているけれど、登録者が肩代わりしてくれているだけで、少なくとも登録者にはウチの住所とかを知らせているんだけれど。
まぁ、この人が送ってきているかどうかは定かではないが、少なくともここから送られてきていることは間違いない。
この後調べているが、フィッシングサイトサーバーの登録者とは違っている。
もう一つのドメインはというと、有効期限が切れているようだ。
$ whois amao64.shop
Domain Name: AMAO64.SHOP
Registry Domain ID: DO6218803-GMO
Registrar WHOIS Server:
Registrar URL: https://wanwang.aliyun.com/
Updated Date: 2023-01-01T01:05:06.0Z
Creation Date: 2021-10-24T12:50:00.0Z
Registry Expiry Date: 2022-10-24T23:59:59.0Z
Registrar: Alibaba Cloud Computing Ltd.
Registrar IANA ID: 1599
Registrar Abuse Contact Email: DomainAbuse@service.aliyun.com
Registrar Abuse Contact Phone: +86.95187
Domain Status: pendingDelete https://icann.org/epp#pendingDelete
Domain Status: pendingDelete https://icann.org/epp#pendingDelete
Registrant State/Province: **
Registrant Country: CN
Registrant Email:
Admin Email:
Tech Email:
Name Server: EXPIRENS3.HICHINA.COM
Name Server: EXPIRENS4.HICHINA.COM
DNSSEC: unsignedIPアドレスの持ち主は、Shanghai UCloud Information Technologyとされている。
$ whois 117.50.174.153
% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
% Information related to '117.50.0.0 - 117.50.255.255'
% Abuse contact for '117.50.0.0 - 117.50.255.255' is 'ipas@cnnic.cn'
inetnum: 117.50.0.0 - 117.50.255.255
netname: UCLOUD-NET
descr: Shanghai UCloud Information Technology Company Limited
country: CN
admin-c: JJ2197-AP
tech-c: JJ2197-AP
abuse-c: AC1601-AP
status: ALLOCATED PORTABLE
mnt-by: MAINT-CNNIC-AP
mnt-lower: MAINT-CNNIC-AP
mnt-routes: MAINT-CNNIC-AP
mnt-irt: IRT-CNNIC-CN
last-modified: 2021-06-16T01:27:07Z
source: APNIC
…
このドメインが販売されているところはどこ?と思ってGoogle先生に聞いてみたけれど、何も情報は得られなかった。
以前、こういった調査をしていると、ドメインの利用実績と価格が羅列されたページにたどり着けたんだけれども、何も見つからなくて驚いた。初回登録が2022年3月11日だから、実績があったというよりは、この用途で登録されたものなのかもしれない。分からない。
フィッシングサイトサーバー
メール本文に書かれたURLのドメインはどうだろう?
$ whois mtocgra.cn
Domain Name: mtocgra.cn
ROID: 20220219s10001s46703678-cn
Domain Status: ok
Registrant: * *
Registrant Contact Email: haolong****@protonmail.com
Sponsoring Registrar: 阿里云计算有限公司(万网)
Name Server: syeef.ns.cloudflare.com
Name Server: alla.ns.cloudflare.com
Registration Time: 2022-02-19 12:29:35
Expiration Time: 2023-02-19 12:29:35
DNSSEC: unsignedこちらのドメインは2022年2月19日に登録されている。
これもGoogle先生に聞いてみたけれど、販売サイトにはたどり着けなかった。
登録されているメールアドレスはProtonMailという無料のメールサービスで、匿名性が高いみたい。
GIZMODO / Gmailを捨ててProtonMailを選ぶ5つの理由
メールサーバーとフィッシングサイトサーバーは登録者が違うことも分かった。
登録された日付は近いんだけれど…グループなのか、偽名なのか…このあたりは分からない。
DNSに尋ねてみると、IPアドレスが2つ出てきた。
$ dig mtocgra.cn -t any ← AとTXTを聞いた後に実行
…
;; ANSWER SECTION:
mtocgra.cn. 202 IN AAAA 2606:4700:3037::6815:541a
mtocgra.cn. 202 IN AAAA 2606:4700:3031::ac43:b90a
mtocgra.cn. 290 IN A 104.21.84.26
mtocgra.cn. 290 IN A 172.67.185.10
mtocgra.cn. 3775 IN HINFO "RFC8482" ""
…whoisデーターベースにIPアドレスを聞いてみる。
$ whois 104.21.84.26
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/resources/registry/whois/tou/
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/resources/registry/whois/inaccuracy_reporting/
#
# Copyright 1997-2023, American Registry for Internet Numbers, Ltd.
#
NetRange: 104.16.0.0 - 104.31.255.255
CIDR: 104.16.0.0/12
NetName: CLOUDFLARENET
NetHandle: NET-104-16-0-0-1
Parent: NET104 (NET-104-0-0-0-0)
NetType: Direct Allocation
OriginAS: AS13335
Organization: Cloudflare, Inc. (CLOUD14)
RegDate: 2014-03-28
Updated: 2021-05-26
…
$ whois 172.67.185.10
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/resources/registry/whois/tou/
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/resources/registry/whois/inaccuracy_reporting/
#
# Copyright 1997-2023, American Registry for Internet Numbers, Ltd.
#
NetRange: 172.64.0.0 - 172.71.255.255
CIDR: 172.64.0.0/13
NetName: CLOUDFLARENET
NetHandle: NET-172-64-0-0-1
Parent: NET172 (NET-172-0-0-0-0)
NetType: Direct Allocation
OriginAS: AS13335
Organization: Cloudflare, Inc. (CLOUD14)
RegDate: 2015-02-25
Updated: 2021-05-26
…IPv6のアドレスも含めて、Cloudflareでサイトを運営しているようだ。
このサイトにcURLでアクセスしてみよう。
$ curl https://mtocgra.cn -v
…
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* Server certificate:
* subject: CN=*.mtocgra.cn
* start date: Jan 1 09:10:16 2023 GMT
* expire date: Apr 1 09:10:15 2023 GMT
* subjectAltName: host "mtocgra.cn" matched cert's "mtocgra.cn"
* issuer: C=US; O=Google Trust Services LLC; CN=GTS CA 1P5
* SSL certificate verify ok.
…Googleトラストサービスというところで元旦に発行された、有効期間3ヶ月の証明書が使われているらしい。
このドメインの販売サイトも見つけることはできなかった。
ということで…
とりあえず、フィッシングサイトサーバー2台+メールサーバー1台で構成されており、メールサーバーについてはSPFが登録されている等(DKIMとかDMARCはなかったけれど)、それなりにしっかりとした仕掛けになっていることが分かる。
フィッシングサイトサーバーにブラウザでアクセスしてみたところ、一瞬変なページが表示された後でリダイレクトされ、こんな感じのページが表示される。
「トップページ」「新規登録」や「こちら」がクリックできそうな雰囲気だけれど、色が付いているだけで、リンクではない。
ここに、メールアドレスやパスワードを入力すれば「情報が抜き取られる」という仕組みですな。
調べてみたけれども、分かったのはここまで。
ETC運営とは全く関係のないところばかりがでてきたので、どうやらカードと口座の凍結はされていないのだろうと推察される。
良かった良かった。