偽装メール？【最終警告】JCBカード からの緊急の連絡。SPFレコードに注目してみる

うさ

WEBの話題の発信を行う「うさ」です。

2022年8月のとある日、取引先からの連絡。

Aさん

PCメールに「ウイルス検知」とJCBから「最終警告」ってのがきてるんやけど

お聞きしてみるとスマホではメールの内容は見えているものの、PCではプロバイダ（OCN）でセキュリティのため内容が削除されているのだとか。

【最終警告】JCBカード からの緊急の連絡

利用に覚えがないサービスであれば、「はいはい偽メール」と詳細を確認せずともスルーできなくもないですが、利用しているサービスであればクレカに限らず気になるもの。

「ウイルスが含まれているため、ここから削除されます。」と本文から削除された内容は以下のようなもの。

=====================================================
本メールはJCBカードのご利用にあたっての、大切なご連絡事項です。
そのため、「JCBからのお知らせメール配信」を「希望したい」に設定しているお客様へもお送りしています。
=====================================================

いつもJCBカードをご利用いただきありがとうございます。

このたび、JCBの不正検知システムにおいて、
お客様がお持ちのJCBカードが第三者により不正使用された可能性を検知しましたので、ご連絡を差し上げます。

つきましては、お客様に対応いただきたい事項があります。
お客様ごとに対応方法が異なりますので、次の対応手順をご確認ください。

【対応手順】
（１）カードに登録している携帯電話番号へ認証コードが記載されたSMSが届いているお客様

SMSに記載のURL（もしくはSMS記載の方法でカードサイト検索）へアクセスいただき、回答をお願いします。
※個人情報の入力はありません。

（２）カード登録している携帯番号へ認証コードが記載されたSMSが届いていないお客様

お手数おかけしますが、下の【お問い合わせ窓口】まで、ご連絡ください。

▶お問い合わせ窓口

※システム都合により、本メールとSMSの送信される順番は前後します。
なお、ご契約いただいているカードについては、第三者による不正使用の可能性がありますので、カードのご利用を一時的に停止させていただいており、もしくは今後停止させていただく場合があります。

ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何卒ご理解賜りたくお願い申しあげます。

また、本メールとあわせて、弊社へご登録いただいている連絡先に、
カードのご利用状況を確認するためのお電話ｗ差し上げることもございます。

「お電話を」とすべきところ「お電話ｗ」となっているなど入力ミスが正規メールとしては「らしくない」ものの、人為的ミスの可能性もあるため、本文中では正規メールか偽メールかは判断できず。

差出人は正規ドメイン

フィッシング詐欺などで送付されてくるなりすましメールは差出人名が正規サービス（※以下であれば「JCBカード株式会社」）であっても<>内の差出人メールアドレスは第三者のものであることが多く、偽装メールかどうかを見抜くことは容易。

しかしながら今回のケースでは差出人についてもドメイン（@jcb.co.jp）部分は正式サービスのもの。

【事例】「Amazonプライム会費のお支払い方法に問題があります」という詐欺メールにのってみた

さて、件名の「Amazonプライム会費のお支払い方法に問題があります」というメール事例。なかには本当にAmazonジャパンからのメールという場合もありますが、今...

iimono.town

2022.08.22

「JR東日本」えきねっと？利用の覚えなし。やっぱりフィッシング詐欺メール

【重要】えきねっとアカウントの自動退会処理について そんな件名で始まる1件のメールが届いたのは3月8日のこと。基本的にアカウントの利用停止、利用再開のためにログ...

iimono.town

2022.03.10

「JCBがウイルスメール送ってきた」

と考えるのは時期尚早。

おそらく削除されたメール本文内の「▶お問い合わせ窓口」以下にURLなどがあったようですがウイルス検知にかかったようで削除されおり、不明。

URLなどがあれば容易に判断できますが、今回については確認ができないため、別の方法で判断することにします。

メールヘッダー情報から偽装を見抜く

一般的に確認することはまずありませんが、メールヘッダー情報には差出人（Flom）、あて先（To）から件名（Subject）といった普段目にする項目のほかに、メールが届くまでにどういった経路（サーバー）を経由したのかというような情報が含まれます。

メールヘッダー情報の解析には「Google Admin Toolbox Messageheader」が便利。

Messageheader

toolbox.googleapps.com

これを見るとSPFステータスが「softfail」となっており、差出人（info@jcb.co.jp）が偽装の可能性を示されています。

なお、ステータスが「pass」の場合は、正当性が認証された正しい送信元から送信されことを示します。

これはあやしい

さてなぜ「softfail」なのか。

メールヘッダー情報をもう少し詳しく見てみると

Received-SPF: softfail (******: domain of transitioning dose not designate client-ip as permitted sender) client-ip=106.**.**.81; envelope-from=<****@jcb.co.jp>; helo=jcb.co.jp;
Authentication-Results:******; spf=softfail smtp.mailfrom=*****@jcb.co.jp

概要としては「*****@jcb.co.jp」のSMTPをつかって client-ip で送信されたメールの認証結果は「softfail（偽装の可能性あり）」というようなもの。

表示されている送信元のIPを調べてみると

差出人が使ったサーバーは中国のもの。偽装ですね。

その他の確認

メールヘッダーなんてどうやって見ればいいの、偽装かどうかわからない、という場合は「メールを経由」せず正規サイトなどから問い合わせこともありでしょう。

また今回のケースであれば「カードのご利用を一時的に停止させていただいており、もしくは今後停止させていただく場合があります」とあることからWEBでのサービスにログインすれば、なにかしらのメッセージが表示、または異常を確認できることでしょう。

無い場合は問題なし。

覚えがあれば別ですが基本的には件名や本文中で「緊急」「最終」「停止」といった不安をあおるメールはひとまず落ち着いてからよく見てみましょう。