TOPCL.ASS!!経理部の迷惑メール被害に注意!「今、.世.界を救うため.に動いて.います!.どうか」など

先日からしつこく「TOPCL.ASS!!経理部:.柳田.さ.ん」(一部が異なっているだけでほとんどこのような名称)という送り主から以下のような件名の悪質なメールが何度もしつこく送られてきています。

  • .世界.を.救う.為.に、ご.協力頂.け.ま.せんか?※謝
  • 世.界を.救う為に、ご協.力頂けま.せんか.?※謝
  • 世界を救.う為に.、ご.協.力.頂.けませ.んか?※.謝
  • 今、.世.界を救うため.に動いて.います!.どうか
  • .困難に立.ち.向か.う為、私たち.は.立ち.上がり.ま
  • 困.難.に立.ち.向か.う.為、.私たちは.立.ち上がりま
  • 【ご協力のお願.い!.!.】目.の.前の.困難に立ち
  • 【ご協.力.のお願い!.!】目.の前の困難.に.立.ち
  • 17.億.5000万.が.お.受け.取り頂けます。詳

明らかにしつこく送ってきており、怪しいメールなので詳細を調べてみました。

特に最初に伝えておくべきことなのですが、本文の中に「配信停止はこちら」と記入があり、そちらから配信停止ができるであろうリンクもありますが、絶対にそちらにアクセスをしてあなたの個人情報を入力しないでください!

こちらの迷惑メールに関して、実際に当サイトが調べた限りでは限りなく詐欺に近いので注意が必要です。

危険なメールであると判断した理由:

  • 明らかに不自然な日本語を使っている
  • 怪しい送信者名
  • 怪しいドメインの利用
  • メルマガを発行するならば住所も必須なのですが、それが記載されてない
  • 類似のメールがドメイン・メールアドレスを変えて何度もしつこく送ってくる

以下ではどのようにして調べたのかを詳しく説明していきます。

笑えるクソ詐欺メール特集

届いた迷惑メール全文

似たようなメールがたくさん届いているので、その中の一部を紹介しいます。文章などが似ているので同一業者からのメールだと考えられます。

以下のような迷惑メールが届いたら注意してください。

件名:,あなたに関すると ても大切なこと知iっており ます。…i

送信者:
TO.PCLA.SS!.!経理部:.柳田さん wmlbg1@bkteeyuck.work

本文:

最.新のご.案.内と.なります

http://XXXXXXXXXXXXXXXXXX.bkteeyuck.work

.-.—–.———.-.——-.—.———

メ.ル.マ.ガ発行I.DXXXXXXXXXXXXXXXXXX
メルマガ発行.者.:.山本洋子

.配.信停止は.こちら
http://XXXXXXXXXXXXXXXXXX.bkteeyuck.work
※す.ぐに.停止します

-.–.-.——.-.—-.-.———.—.—–.–

※危険なので一部XXXに置き換えています。

その他の似たようなメールがたくさん届く

上で紹介した以外にも件名や本文を変えて似たようなメールはたくさん届きます。

例えば

次.のご.案.内.事項.をご.確.認.くだ.さい

http://XXXXXXXXXXXXXXXX.twilight-lemonade.work

—.–.————–.—–.-.-.-.——–

メルマ.ガ発行IDXXXXXXXXXXXXXXXX
メルマガ.発.行者:山本洋子

.配信停.止は.こちら
http://XXXXXXXXXXXXXXXX.twilight-lemonade.work
※すぐ.に停.止します

—.–.———-.———.—.-.-.-.—–

のような感じにほぼ同様の文体で同様のメール内容を送りつけてくるので、上のすべてのメールは同一業者だと考えられます。

送信元:g9vw30@twilight-lemonade.work

送信元はいろんなアドレスを使っています。

  • g9vw30@twilight-lemonade.work
  • 4dgvmx@laurier-bambina.work
  • 6go7u6@bnweyp.work
  • 1un162@kgpexufg.work
  • gkvh79@txjmysnfj.work
  • wjla4a@voyage-electronica.work

これらのアドレスのドメインについて詳細を調べてみました。

twilight-lemonade.work

こちらを調べてみるとタイトルは「ページ情報の取得に失敗しました」と出てきており、まともなサイトでないことがわかります。

ドメイン取得年月日も不明です。

laurier-bambina.work

こちらのドメインに関して調べてみても、やはり不明な情報が多いだけでなくGoogleにインデックスすらされていません。

インデックスすらできないようなコンテンツとなっているのか、インデックスしないように設定しているのかは不明ですが、人に見せれるようなドメインでないことがわかります。

リンク先:dsjbimri.workなど

リンク先のドメインも以下のように色々と使われています。

  • dsjbimri.work
  • laurier-bambina.work
  • bnweyp.work
  • smsfiat.work
  • kgpexufg.work
  • kmbdryawf.work
  • txjmysnfj.work

ただし、先程のメールアドレスに利用していたドメインの使いまわしをしているようです。ドメインを取得して、サブドメインで色々と適当にアルファベットを入力して利用していることがわかります。

サブドメインとは例えば「smsfiat.work」の前の部分に異なるアルファベットや数字をつけたもので、zzz.smsfiat.workなどのように設定することができます。

とりあえずドメインに共通しているのは「.work」を使っていることでしょう。

なぜ「.work」のドメインを取得しているのか推測すると、おそらく以下のように安いからだと思われます。

まともな法人ドメインであれば.co.jpを取得して利用するのですが、こちらは年間4000円以上かかります。一方で.workドメインならばたったの190円です。

たくさんのドメインを取得して、あちこちに迷惑メールを送りつけるスパム的な手法を活用する業者にとっては無駄な出費を抑えたいと思うので、こういった安いトップレベルドメインを利用しているのでしょう。

判定

  • 明らかに不自然な日本語を使っている
  • 似たようなメールを様々なメールアドレスを使ってむやみに送りつけている
  • 使っているドメインも信頼性がまったくないもの

以上のことから人を騙す目的のメールであると判断しました。ですので、今回紹介したようなメールや類似のメールが送られてきたとしても絶対にあなたの個人情報を打ち込まないようにしてください。また、配信停止リンクもクリックしないでください。

もし間違ってこちらの怪しい迷惑メール相手に個人情報を相手に渡してしまったのであれば、警察に相談なども一応行ってみてください。実際のところ警察は実害がないと動いてくれないとは思いますが、相談だけでもしてみましょう。

その他、まだ不正に利用されてなかった状況だったとしても、怪しいメールを似たような文面で多数送りつけているのを確認しています。どれも手口が同様なので、同一犯だと即座に見分けが付きます。

なので、Googleのフィッシング詐欺報告フォームを活用して通報しましょう。ネットの扱いに慣れている方だけで良いので、送られてきたメールに記載しているリンクをコピペで貼ってGoogleに知らせてください。

そして、都道府県警察本部のサイバー犯罪相談窓口等一覧なども利用してみてください。