【注意喚起】MyJCBからメールが届いたが、フィッシングだった。

2022年1月15日にMyJCBから不審なメールがとどきました。
結果的にフィッシングサイトですので、このようなメールを受信された場合にはリンクを踏まず、アクセスを控えてください。
サンドボックス環境を用意したりして、アクセスしてみる人もいるようですが、URL自身にトラッカーを仕込んでいることがあるため、有効なアドレスと見なされたりカモリストに登録されたりとメリットはありません。

また、JCB自身もホームページで啓発行動をしています。
https://www.jcb.co.jp/release/phishing_202105.html

【MyJCBカード】利用いただき、ありがとうございます。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。
つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい。

■ご利用確認はこちら

ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何とぞご理解賜りたくお願い申しあげます。
──────────────────────────────────
■発行者■株式会社ジェーシービー東京都港区南青山5-1-22──────────────────────────────────
?JCB Co., Ltd. 2000
無断転載および再配布を禁じます。

受信したメールを引用 リンク箇所を赤文字にしていますがリンクは有効ではありません。

なんか穏やかでない文面となっています。

でも、普通こういうメールは「～様」って宛名が付きますよね？
このフィッシング詐欺メールの特徴として宛名の無いメールになることが多いです。
だって顧客リストを持っていないのですから。

このようなメールを受信すると「ヤバい」と思ってリンクにアクセスしてみたくなる気持ちがありますが、今一度落ち着いてください。

確認しないといけない項目

メールアドレスは本当にJCBのものですか？

JCBのドメインは、「jcb.co.jp」です。
このメールの差出人を見てみましょう。
「MyJCB」と表記されていますが、これはメールソフトで任意に設定することができます。
大事なのは後ろに隠れているメールアドレスです。

確認してみるとなんとjcb.co.jpではありませんでした。

ちなみに正しいアドレスはこれです。ちゃんとJCBのドメインから送信されています。

ドメインについてはこちらの記事をご覧ください。

お名前.comでドメインを安く取得する。

みなさん、GoogleのURLって何ですか？ このように答える人がほとんどだと思います。だれも、「142.250.207.14」と答えたりしないですよね。 ドメインを正確に定義すると「…

Daily Moments with SKRI

メールのURLは本物ですか？

メールアドレスと同じです。
本文中のURLはJCBのものか確認してください。

実際に見てみると、「lsyvghk.cn」というドメインのURLでした。
明らかに偽物ですね。

疑うことが大事

基本的にこういう内容であれば、JCBから電話連絡が来ます。
「メールで届くものはウソ」と最初から信じないことが大事です。
皆さんも疑ってかかることを今一度意識してください。
そのためには、事例を知ることが必要だと思います。

JCBによるとこのようなタイトルのメールが届くようです。

お支払いが停止されました。
JCBカードをご利用のお客さま
【MyJCB会員】確認情報を取得できませんでした.
【JCB会員サービス】利用いただき、ありがとうございます。
【MY JCB】カード年会費のお支払い方法に問題があります
お客様のMyJCBアカウントが第三者に不正ログインされた可能性があります!
「JCBサービス停止のごお知らせ」
2021年7月度のお支払い予定予定金額のご案内です。
【jcbード会員サービス】利用のお知らせ
【JCBード会員サービス】利用のお知らせ 【重要】カスタマセンターからのご案内
jcbカード会員サービス 利用のお知らせ
【JCBカード】お取引のご確認
【重要なお知らせ】【JCBカード】ご利用確認のお願い
【重要なお知らせ】【MyJCB】ご利用確認のお願い 】
カード暗証番号の照会がありました
ご利用のお知らせ【JCBカード】
【重要】JCB 緊急のご連絡
＜重要＞「MyJCB」お客様情報の変更に関する手続きが未完了しました
＜重要＞【My JCB】ご利用確認のお願い
「MyJCB」情報ジャンル変更完了
カード再発行受付完了のお知らせ
[MyJCB]再登録完了のご案内
 [MyJCBカード]が第三者に利用される恐れがあります 番号：＊＊＊＊＊＊＊＊＊＊＊＊（数字12桁）
お客様のJCBアカウントがロックされている 番号：「＊＊＊＊＊＊＊＊（数字8桁）」
【サポートセンターより重要なお知らせ】MyJCB
【MyJCB】お支払い方法を更新してください（自動配信メール）

https://j-faq.jcb.co.jp/faq/show/1544?site_domain=default

お遊び

お遊びとしてこのメールについて詳しく調べてみました。

送信元のドメインについて

このドメインの所有者は誰でしょうか。Whoisで見てみましょう。

「阿里云計算有限公司」はこのドメインを管理する会社さん。
ドメイン登録者も海外の方ですね。
フィッシング詐欺によくあるケースです。

メールのソースを見てみる

メールサーバが伝送の際に記録するヘッダは偽装することができますが、念のため見てみましょう。

Received: from OSZP286MB2159.JPNP286.PROD.OUTLOOK.COM (2603:1096:604:16e::7)
 by OS3P286MB0689.JPNP286.PROD.OUTLOOK.COM with HTTPS; Sat, 15 Jan 2022
 07:38:53 +0000
Received: from TYXPR01CA0059.jpnprd01.prod.outlook.com (2603:1096:403:a::29)
 by OSZP286MB2159.JPNP286.PROD.OUTLOOK.COM (2603:1096:604:16e::7) with
 Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.4888.11; Sat, 15 Jan
 2022 07:38:50 +0000
Received: from OS0JPN01FT029.eop-JPN01.prod.protection.outlook.com
 (2603:1096:403:a:cafe::b) by TYXPR01CA0059.outlook.office365.com
 (2603:1096:403:a::29) with Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.4888.10 via Frontend
 Transport; Sat, 15 Jan 2022 07:38:50 +0000
Authentication-Results: spf=pass (sender IP is 170.130.44.221)
 smtp.mailfrom=rcxvbn.cn; dkim=pass (signature was verified)
 header.d=rcxvbn.cn;dmarc=permerror action=none
 header.from=rcxvbn.cn;compauth=pass reason=105
Received-SPF: Pass (protection.outlook.com: domain of rcxvbn.cn designates
 170.130.44.221 as permitted sender) receiver=protection.outlook.com;
 client-ip=170.130.44.221; helo=mail11.rcxvbn.cn;
Received: from mail11.rcxvbn.cn (170.130.44.221) by
 OS0JPN01FT029.mail.protection.outlook.com (10.13.140.112) with Microsoft SMTP
 Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
 15.20.4888.9 via Frontend Transport; Sat, 15 Jan 2022 07:38:49 +0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=default; d=rcxvbn.cn;
 h=Date:From:To:Subject:Message-ID:Mime-Version:Content-Type:
 Content-Transfer-Encoding; i=MyJCB@rcxvbn.cn;
 bh=3SPvjNVMjEZsxbQX3HWz4F8LpxzWBH0guuRXdq44J9M=;
 b=P6LUjrmVNhl7/keR1d5sFA7JiiGw4gUxvb+SUNVUZFdBTKX1+jw03GbGU5+hHnPQ9LFRQR8ZOO4G
   WYju7/NlykZMHRsqUm3FVwDegxLhy7htYI5wmUiFXA3noAQbcvgGYgyBhWciE4qajiAfFSgbGDPu
   HnJJAkE8Cch6XE2YfLI=
Date: Sat, 15 Jan 2022 14:58:28 +0800
From: "MyJCB" <MyJCB@rcxvbn.cn>

送信メールサーバ「mail11.rcxvbn.cn (170.130.44.221)」について

EONIX CORPORATIONというホスティング業者のIPアドレスから送信されているようです。

自称マイページのURLについて

自称マイページのURLは「lsyvghk.cn」ドメイン上でサービスされています。
こちらもWhoisで見てみると里云計算有限公司でしたが、登録者は別の方。

ホームページ自身はどこでサービスされているのかを調べてみると、

ColoCrossing社のIPアドレスですね。アメリカの会社です。