---

　昨年、詐欺メールに記載されたリンク先のトップレベルドメインでは .cn のモロ出しも多かったが、今年に入ってから連中の流行なのか .cfd がやたらと多くなってる。,cfd は服飾・ファッション・デザインに関連したサイト向けなのだが、連中はその手の物販詐欺もやってる。

　詐欺サイトを誤魔化すようにトップページにアクセスすると偽の販売サイトが表示されることがある。他国の販売サイトから盗んだページを表示してるだけあり、フィッシング詐欺が目的のため商品購入方法は何もなかった。「forbidden」や「Not Found」より手が込んでいる。

　中には偽ブランド品（安すぎる）の詐欺サイトもあったが、それも単に個人情報とクレジットカード番号を盗まれ、不正使用されるだけで偽物さえ送ってこないでしょうな。

---

　私も自宅サーバーの頃は私もOpenSSLによる自前認証局で証明書（通称オレオレ証明書）を正当に登録して使ってた。レンタルサーバーにして世界的にSSLの標準化によって我々のような個人にも救いの手があり、レンタルサーバー事業者が Let's Encrypt を使って設定してくれてる。それを悪用する奴らもいるからLet's Encryptを使ってたら悪だと思われても困る。

　このところ気になるのが Internet Widgits Pty Ltd という組織名で、これはOpen SSLを使って証明書を作るときの初期値。真っ当ならば自分の組織名を登録するが、「息を吐くように嘘をつく三千年の歴史」が名乗るはずがなかろう。

　オレオレ証明書が増えたというより同じ組織による犯行だと考える。または、犯罪帝国のことだから「詐欺の手引き書」でも販売されてるのかもしれない。

---

大量にやってくるフィッシング詐欺メールから、ひとつ拾ってみた。

　「【AMERICAN EXPRESS】ご請求金額確定のご案内」が届くかアメックスは使ってないため一発で詐欺とわかるが、そもそも電子メールの発信元がまるで違ってる。

フィッシング詐欺サイト：h**ps://americanexpress.kuang-ren.com/month/jp
逆引き：195-86-143-9.easynet.nl　（調査時点）
IPアドレス：　犯罪帝国と呼ぶ国　（我々への詐欺は99.99%その国からだから）
サーバー証明書 "Internet Widgits Pty Ltd" （未設定なオレオレ証明書）

　このIPアドレスで調べてみると同一IPアドレスにて多数のドメイン運用記録あり、195.86.143.9は悪意あるサイト（IPアドレス）との判定が出た。

　フィッシング詐欺サイトがあるIPアドレスは、ちょこちょこ変わる。ブラックリスト登録を避けるため、ヒット＆アウェイ犯罪を繰り返しているからと思われ、昨日にはルーマニアと報告が見つかるもアクセス数を増やすために連日のよう詐欺メールを掲載してるサイトだったため深い調査ができてない。

　詐欺師はCloudflare（CDNサービス）も悪用するためアメリカと表示されてしまうことが多いが、Cloudflareは踏み台であり日本人への詐欺の実体はダークぷ～さんが率いる犯罪帝国だとは防衛力を高めて辿ってゆけばわかる。だが悪知恵も進んで本当に引っかかった奴しか通さない仕組みがありそう。探りを入れたアクセスをしたら「騙されたフリ」もできずブロックされた。

　同じIPアドレスでの記録では MUFGカードのフィッシングサイト（crmufg.gumeen.com）として多数の報告があり、今回は装ったドメインの文字に見られるようアメリカン エクスプレス カードのフィッシング詐欺サイトであった。

≪ 続きを隠す