初回投稿 2021年8月29日

<迷惑メール>新冠ワクチン接種のお知らせ正体暴くフィッシング注意

怪しい不審な迷惑メール「【重要】自衛隊 大規模接種センターの概要 予約サイト案内(予約・受付案内)」詐欺フィッシング。厚生労働省コロナワクチン予約で個人情報とクレジットカード番号を盗む詐欺手口と攻撃者の正体

フィッシング詐欺 が目的のEメール!

防衛省の 「自衛隊 大規模接種センター」 を勝手に名乗って成りすまし、新型コロナウイルス感染症のためのワクチン接種の予約案内で騙す日本語の 迷惑メール(スパムメール) が無差別に送信されています。 <ひぇ

自衛隊大規模接種センターの予約については、下記注意事項をご覧頂き、ページ下部に記載のWeb予約サイト、LINEまたは、専用お問い合わせ・予約窓口(電話)により、予約を行ってください。
自衛隊ワクチン大規模接種センター予約サイト受付案内?

新冠ワクチン接種のお知らせ迷惑メール
新冠ワクチン接種のお知らせ詐欺メール

不審メール件名 自衛隊 大規模接種センターの概要 予約サイト案内(予約・受付案内) / 【重要】自衛隊 大規模接種センターの概要 予約サイト案内(予約・受付案内)
送信者 自衛隊大規模接種センター <info@vaccine.mrso.jp> / お電話のおかけ間違いにご注意ください <Copyright?MinistryofHealth@>

自衛隊大規模接種センターの予約については、下記注意事項をご覧頂き、
ページ下部に記載のWeb予約サイト、LINEまたは、専用お問い合わせ・予約窓口(電話)により、予約を行ってください。無題な濃いログ
■予約サイトへ
■お問い合わせ・予約窓口
──
予約に関するお願い
自衛隊大規模接種センターでは、原則として、接種券(原本)をお持ちいただいていない場合、ワクチンの接種はできません。接種券がお手元に届いてからご予約いただき、当日、接種券(原本)を必ずお持ち下さい。無題な濃いログ
──
■自衛隊 東京大規模接種センター専用
 お問い合わせ・予約窓口
開設時間:07時00分~21時00分(毎日)
お電話のおかけ間違いにご注意ください。
一般:0570-056-[数字]
English:0570-056-[数字]
副反応:0570-056-[数字]
※問い合わせのみ 無題な濃いログ
Copyright (C) Ministry of Health, Labour and Welfare, All Rights reserved.
無断転載および再配布を禁じます。無題な濃いログ
不審メール件名 新冠ワクチン接種のお知らせ
送信者 新冠ワクチン接種のお知らせ

Copyright (C) Ministry of Health, Labourand
厚生労働省 新型コロナワクチンについて
拖拽生成HTML邮件-拉易网-10
新冠ワクチン接種のお知らせ
自衛隊大規模接種センターの予約については、下記注意事項をご覧頂き、
ページ下部に記載のWeb予約サイト、LINEまたは、専用お問い合わせ・予約窓口(電話)により、予約を行ってください。無題な濃いログ
■予約サイトへ
予約に関するお願い
自衛隊大規模接種センターでは、原則として、接種券(原本)をお持ーちいただいていない場合、ワクチンの接種はできません。接種券がお手元届いてからご予約いただき、当日、接種券(原本)を必ずお持ち下さい。
「予約」ボタンをクリックして、オフィシャルに入り、予約します。無題な濃いログ
予約する
■自衛隊東京大規模接種センター専用
お問い合わせ・予約窓口
開設時間:07時00分~21時00分(毎日)
お電話のおかけ間違いにご注意ください。
一般:0570-056-[数字]
English:0570-056-[数字]
副反応:0570-056-[数字]
※問い合わせのみ
Copyright (C) Ministry of Health,Labour and Welfare, All Rightsreserved.
無断転載および再配布を禁じます。
Copyright (C) Ministry of Health, Labourand

新冠…???
中国語の表現で、日本語でいう 「新型」 「コロナ」 という意味ですな。


不審なEメールの送信サーバー

手元で受信した不審メールのヘッダー情報を確認すると、発信IPアドレスは 「116.85.*.*」 の範囲でした。

中国の 「Beijing Xiaoju Technology Co., Ltd」 (北京 小桔 科技有限公司) が管理するサーバーで、迷惑メールの送信サーバーの踏み台として悪用されていると思われます。

ipaddress
日付のタイムゾーン +0800 → 中国標準時

  • 116.85.37.31
  • 116.85.63.85
  • 116.85.72.238
    など

自衛隊 大規模接種センター予約サイト釣る詐欺フィッシング

不審なEメール 「【重要】自衛隊 大規模接種センターの概要 予約サイト案内(予約・受付案内)」 「新冠ワクチン接種のお知らせ」 の誘導先へアクセスしてみました。

まず、厚生労働省 「コロナワクチンナビ」 の ワクチン接種予約サイト に移動します。

新型コロナワクチンの接種会場を探したり、どうやって接種を受けるかなどの情報を提供する、新型コロナワクチン接種の総合案内サイトです
厚生労働省 「コロナワクチンナビ」 の偽サイト

そして、ワクチン接種予約の名目で、個人情報クレジットカード情報 の 2 点を要求します。

コロナワクチンナビ クレジットカード予約
氏名、住所、電話番号、メールアドレス

自衛隊 大規模接種センター
偽コロナワクチンナビ クレジットカード番号

  • 氏名 Firefly
    住所 Firefly
    電話番号

  • メールアドレス

  • 生年月日

  • クレジットカード
    (カード名義人、カード番号、有効期限、セキュリティコード)

仮に入力して送信してしまえば、クレジットカード不正利用 の金銭被害が想定られます。


ワクチン自衛隊大規模接種でフィッシング詐欺の流れ

セキュリティの脅威 フィッシング詐欺 ということで、「コロナワクチンナビ」 の偽ワクチン接種予約サイトは本物の厚生労働省の外観デザインや画像のコンテンツをそっくりそのまま流用しています。

見た目の偽装は 100% 完璧です。

  • 「コロナワクチンナビ」 の偽予約サイトの特徴
    クレジットカード番号を要求してくる
    ワクチン接種の予約を行う場面がない

  • フィッシング詐欺サイトの URL
    確認されている不正なドメイン名 「.com」 「.cn」 「.xyz」 「.quest」 「.ee」
    厚生労働省の正規ドメイン v-sys.mhlw.go.jp ではない

自衛隊ワクチン接種予約を餌にした フィッシング詐欺の流れ を簡単にまとめると次のような感じになっていて、盗むべき情報を無事に頂いた後に本物の厚生労働省のページへたどり着く仕掛になっています。

「自衛隊 大規模接種センター」 を騙る偽メールを受信する
 ↓ URL にアクセスする

偽物の 「コロナワクチンナビ」 が開く
 (個人情報、クレジットカード情報を盗むフィッシングサイト)
 ↓ 情報を入力して送信する

本物の 「コロナワクチンナビ - 接種会場を探す」 ページに移動する

不審なEメールのリンクをポチッとクリックしただけで、半自動的に情報が流出することはありません。

大規模接種センター予約フィッシング詐欺に中国語?

偽ワクチン予約サイトのバックヤードを覗いてみると、攻撃を仕掛ける人物の正体が推定できます。

個人情報やクレジットカード情報を送信する処理を確認すると、中国語の発音表記である ピンイン に由来するパラメータが見つかりました。

chinese-pinyin
偽 「コロナワクチンナビ」 の HTML ソースを覗くと…

アルファベットの 「zhusuo」 「youbian」 「sheng_year」 「sheng_yue」 「sheng_ri」 といった見慣れない表現は、日本語でいうところの 「住所」 「郵便」 「生 年」 「生 月」 「生 日」 に相当します。


■ 関連するブログ記事
Amazon アカウント迷惑メール詐欺