読む・考える・書く

マスコミやネットにあふれる偏向情報に流されないためのオルタナティブな情報を届けます。

脅迫詐欺メールがうるさいので発信元を調べてみた

【広告】

最近、こういう詐欺メールがやたらと届くようになった。

メールの差出人が私自身のメールアドレスになっており、それを根拠に、自分はお前のパソコンをハッキングして制御を握っているのだと主張する。そして、パソコンの中から見つけた恥ずかしい秘密を暴露されたくなければビットコインで金を送れと要求する。

文面には何種類かバリエーションがあるが、実質的な中身はほぼ一緒だ。

もちろんハッキングして制御を握っているというのは嘘で、この送信者は単に私のメールアドレスを知っているだけだ。メールの差出人情報は任意に設定できるので、相手のメールアドレスさえ知っていれば、相手のアカウントからメールを送ったように偽装することは容易にできる。

だいたい、本当に制御を握っているのなら、ランサムウェアでも送り込んでファイルを暗号化して人質に取ればいいわけで、それができないからあれこれ思い当たることがありそうな話を並べて送金させようとしているわけだ。

私の場合、メールアドレスを知られている理由も明確で、それは一時期自分のアドレスをWeb上に公開していたからだ。(今は削除済み。)それが収集されて、他の膨大な数のアドレス(企業からの情報漏えい等によるもの)と一緒に売り買いされているのだろう。

この手の不快なメールを送られて、ただ無視しているだけというのも癪なので、詐欺メールの発信元を調べてみた。

メールのヘッダ情報を表示させると、その中に”Received:”というフィールドがある。これは、メールサーバーがメールを受け取るたびに、どこからそれを受け取ったのかを記録していくフィールドで、サーバー間でメールが転送されるたびに先頭に追加されていく。

従って、最初の”Received:”フィールドを見れば、そのメールの真の発信元が分かる。

ヘッダ情報を表示させる方法はメールソフトによって異なるが、Thunderbirdなら右上の「その他」メニューから「ソースを表示」を選択すればよい。

上の詐欺メールの場合、ヘッダ情報は次のようになっていた。

ここから、送信元のIPアドレスは 200.124.236.114 であることが分かる。これをWhois検索で調べてみると、このIPアドレスの所有者は「PLUS SERVICES S.A.」という、エクアドルの通信事業者であることが判明した。つまり、この詐欺メールの送信者はこの通信事業者が提供するインターネット接続サービスの利用者ということになる。

他の詐欺メールについても同様に調べていくと、次のような結果になった。

送信元IPアドレス 通信事業者
5.134.161.163 Rightel Communication Service Company PJS イラン
196.188.191.73 Ethio Telecom エチオピア
177.228.99.244 Mega Cable, S.A. de C.V. メキシコ
65.49.245.195 Manifold Services Inc アメリカ
154.124.0.185 Societe Nationale Des Telecommunications Du Senegal セネガル
179.7.192.76 America Movil Peru S.A.C. ペルー
181.189.140.203 Municipalidad de Mixco グアテマラ
182.191.203.254 Pakistan Telecommunication Company Limited. パキスタン
1.186.175.232 D-VoiS Broadband Private Limited インド
45.49.212.186 Charter Communications Inc アメリカ
58.186.223.82 FPT Telecom Company ベトナム
186.137.182.117 Telecom Argentina S.A. アルゼンチン
51.218.242.58 Saudi Telecom Company JSC サウジアラビア
182.19.242.93 StarHub Ltd シンガポール
2.39.125.239 Vodafone Italy イタリア
182.179.166.51 DSLAM Central Infrastructure パキスタン
200.124.236.114 PLUS SERVICES S.A. エクアドル
190.232.196.114 TELEFONICA DEL PERU ペルー
89.78.82.119 ORG-UTKS1-RIPE ポーランド
41.212.148.64 MauritiusTelecom モーリシャス


北米、南米、欧州、アジア、アフリカと、ほとんど世界中から届いていることがわかる。

もっとも、これらのIPアドレスの送信者自身が詐欺師とは必ずしも断定できない。複数の国から同じ送金先を指定したメールが届いていることから見て、一部の送信者はパソコンを乗っ取られてメール送信の踏み台として使われているのかもしれない。

それはともかく、メールに書かれていた以下のビットコインウォレットが詐欺師の所有するものであることは間違いないので、決してこれらのウォレットに送金などしてはいけない。

16yJ7MQWTFNjsSvAJJMkjPpnJbAsGLYhW7
19rq65nR7FqvEgeq3r8YmHGupsUvnD3pmD
19fbzcVjCXSwoCjCfKtjRVHaVrghY7ZmDX
18UytoFiFoJo9fqJA3T76oPvXHvmEvUMog
1DzM9y4fRgWqpZZCsvf5Rx4HupbE5Q5r4y
1CPqrZhxjNf28Ub3dzKUAdCUEFeWrN1apk
13aERfiqwbkR4E4hcXA75A2KZA5jTSWqvx
1ATnJsRDZgtdR362baqLDqQXxX2JUkWhXA
1M3uh3QNTxVsK1MqR4cBdqajojUixCiwwq
1G93wR2LDzd2euJ92ePbMGzZ2zpyDRWU4G
1BEQ3id3nr2pummerJRiAtZrdGoYHsAwq7
1PfbxCJkGNTZC7yFtHHhtPnZyiwQEUqAmu
17XHRucfd4kx3W5ty7ySLGiKHqmPUUdpus
17vzpL7n29egdeJF1hvUE4tKV81MqsW4wF
1H9bS7Zb6LEANLkM8yiF8EsoGEtMEeLFvC
1LegBoS8sKbUyDqu9SSA3xpYTkTVYUf97p
1WLEChY6S7S97m5voZZtbQcwiEYeSNsja