JR東日本が運営する指定券予約サービス及び旅の情報などのインターネットサービスである「えきねっと」は、2年以上利用がない場合、自動退会処理をしていますが、便乗したフィッシングメールが配信されています。
重いパソコンがサクサク動くウイルス対策ソフト送信者
送信者はeki.net <eki-info-account@xbjmxsi.cn>という中国のドメイン。
whoisで調べたところアリババ クラウド(阿里云计算有限公司(万网))という会社の所有しているドメインのようでした。
件名「【重要】えきねっとアカウントの自動退会処理について」
本文は以下の通り
日頃より「えきねっと」をご利用いただきありがとうございます。
「えきねっと」のアカウントは制限されています。通常の使用に影響を与えないように、下のリンクをクリックして関連情報をできるだけ早く確認してください。12時間以内に申し込みが届かない場合、アカウントは常にご不便をおかけして申し訳ございません。
2年以上ログインしていないお客さまで、今後も「えきねっと」をご利用いただける場合 は、2022 年 3 月 10 日(木)よりも前に、一度ログイン操作をお願いいたします。
⇒ログインはこちら
※えきねっとトップページ右上のログインボタンよりログインしてください。
お問い合わせ先
えきねっとサポートセンター
TEL 050-2016-5000
受付時間 8時00分~22時00分
サイト運営・管理
JR東日本ネットステーション
——————–このメールは「えきねっと」より自動配信されています。
返信いただきましても対応致しかねますので、あらかじめご了承ください。
お心当たりのない方は、誠に恐れ入りますがこのメールの削除をお願いいたします。
ご不明な点のある方は、えきねっとサポートセンターまでご連絡ください。
「ログインはこちら」のリンク先がえきねっとのようなサブドメインのアドレスでフィッシングサイトとなっています。
VirusTotalで確認したところ現在は表示できないようでしたが、マルウェア、スパム判定されていました。
なお、Google Chromeでは既に「偽のサイトにアクセスしようとしてます」となりアクセスできないようになってます
ヘッダー情報
送信元はリンク先と同様のIPとなっており中国でした。
他のサーバーを経由してはおらず直接送信しているようです。
最後に
公式サイトに記載がありましたが2022年3月1日〜3月8日に送信した本物のメールにはURLの記載はされておらず、3月9日以降は「自動退会」に関するメールは送信していないそうです。
現在も頻繁に送られてくる、えきねっとのメールはフィッシングメールの可能性が高いのでサイトにはアクセスせず削除するようにしましょう。
コメント