最近、こういう詐欺メールがやたらと届くようになった。
メールの差出人が私自身のメールアドレスになっており、それを根拠に、自分はお前のパソコンをハッキングして制御を握っているのだと主張する。そして、パソコンの中から見つけた恥ずかしい秘密を暴露されたくなければビットコインで金を送れと要求する。
文面には何種類かバリエーションがあるが、実質的な中身はほぼ一緒だ。
もちろんハッキングして制御を握っているというのは嘘で、この送信者は単に私のメールアドレスを知っているだけだ。メールの差出人情報は任意に設定できるので、相手のメールアドレスさえ知っていれば、相手のアカウントからメールを送ったように偽装することは容易にできる。
だいたい、本当に制御を握っているのなら、ランサムウェアでも送り込んでファイルを暗号化して人質に取ればいいわけで、それができないからあれこれ思い当たることがありそうな話を並べて送金させようとしているわけだ。
私の場合、メールアドレスを知られている理由も明確で、それは一時期自分のアドレスをWeb上に公開していたからだ。(今は削除済み。)それが収集されて、他の膨大な数のアドレス(企業からの情報漏えい等によるもの)と一緒に売り買いされているのだろう。
この手の不快なメールを送られて、ただ無視しているだけというのも癪なので、詐欺メールの発信元を調べてみた。
メールのヘッダ情報を表示させると、その中に”Received:”というフィールドがある。これは、メールサーバーがメールを受け取るたびに、どこからそれを受け取ったのかを記録していくフィールドで、サーバー間でメールが転送されるたびに先頭に追加されていく。
従って、最初の”Received:”フィールドを見れば、そのメールの真の発信元が分かる。
ヘッダ情報を表示させる方法はメールソフトによって異なるが、Thunderbirdなら右上の「その他」メニューから「ソースを表示」を選択すればよい。
上の詐欺メールの場合、ヘッダ情報は次のようになっていた。
ここから、送信元のIPアドレスは 200.124.236.114 であることが分かる。これをWhois検索で調べてみると、このIPアドレスの所有者は「PLUS SERVICES S.A.」という、エクアドルの通信事業者であることが判明した。つまり、この詐欺メールの送信者はこの通信事業者が提供するインターネット接続サービスの利用者ということになる。
他の詐欺メールについても同様に調べていくと、次のような結果になった。
送信元IPアドレス | 通信事業者 | 国 |
5.134.161.163 | Rightel Communication Service Company PJS | イラン |
196.188.191.73 | Ethio Telecom | エチオピア |
177.228.99.244 | Mega Cable, S.A. de C.V. | メキシコ |
65.49.245.195 | Manifold Services Inc | アメリカ |
154.124.0.185 | Societe Nationale Des Telecommunications Du Senegal | セネガル |
179.7.192.76 | America Movil Peru S.A.C. | ペルー |
181.189.140.203 | Municipalidad de Mixco | グアテマラ |
182.191.203.254 | Pakistan Telecommunication Company Limited. | パキスタン |
1.186.175.232 | D-VoiS Broadband Private Limited | インド |
45.49.212.186 | Charter Communications Inc | アメリカ |
58.186.223.82 | FPT Telecom Company | ベトナム |
186.137.182.117 | Telecom Argentina S.A. | アルゼンチン |
51.218.242.58 | Saudi Telecom Company JSC | サウジアラビア |
182.19.242.93 | StarHub Ltd | シンガポール |
2.39.125.239 | Vodafone Italy | イタリア |
182.179.166.51 | DSLAM Central Infrastructure | パキスタン |
200.124.236.114 | PLUS SERVICES S.A. | エクアドル |
190.232.196.114 | TELEFONICA DEL PERU | ペルー |
89.78.82.119 | ORG-UTKS1-RIPE | ポーランド |
41.212.148.64 | MauritiusTelecom | モーリシャス |
北米、南米、欧州、アジア、アフリカと、ほとんど世界中から届いていることがわかる。
もっとも、これらのIPアドレスの送信者自身が詐欺師とは必ずしも断定できない。複数の国から同じ送金先を指定したメールが届いていることから見て、一部の送信者はパソコンを乗っ取られてメール送信の踏み台として使われているのかもしれない。
それはともかく、メールに書かれていた以下のビットコインウォレットが詐欺師の所有するものであることは間違いないので、決してこれらのウォレットに送金などしてはいけない。
16yJ7MQWTFNjsSvAJJMkjPpnJbAsGLYhW7 |
19rq65nR7FqvEgeq3r8YmHGupsUvnD3pmD |
19fbzcVjCXSwoCjCfKtjRVHaVrghY7ZmDX |
18UytoFiFoJo9fqJA3T76oPvXHvmEvUMog |
1DzM9y4fRgWqpZZCsvf5Rx4HupbE5Q5r4y |
1CPqrZhxjNf28Ub3dzKUAdCUEFeWrN1apk |
13aERfiqwbkR4E4hcXA75A2KZA5jTSWqvx |
1ATnJsRDZgtdR362baqLDqQXxX2JUkWhXA |
1M3uh3QNTxVsK1MqR4cBdqajojUixCiwwq |
1G93wR2LDzd2euJ92ePbMGzZ2zpyDRWU4G |
1BEQ3id3nr2pummerJRiAtZrdGoYHsAwq7 |
1PfbxCJkGNTZC7yFtHHhtPnZyiwQEUqAmu |
17XHRucfd4kx3W5ty7ySLGiKHqmPUUdpus |
17vzpL7n29egdeJF1hvUE4tKV81MqsW4wF |
1H9bS7Zb6LEANLkM8yiF8EsoGEtMEeLFvC |
1LegBoS8sKbUyDqu9SSA3xpYTkTVYUf97p |
1WLEChY6S7S97m5voZZtbQcwiEYeSNsja |