サブメールアドレスに知らない銀行からの通知が来ていた

知らない銀行からの通達メール
送り主を調べてみる
フィッシングサイトへの誘導部分
西日本シティ銀行の対応
怪しいメールの報告先

現在、メールアドレスはGoogleのものをメインに、サブとしてYahoo、Niftyのアドレスを使い分けているのですが、ゲームなどの認証で使っているYahooのアドレスを久々にチェックしてみると、何やら知らない銀行から連絡が来ていました。

知らない銀行からの通達メール

文面は下記の通り（URLはクリックできないように空白を入れています）。

Subject: 【重要・緊急】西日本シティ銀行入金制限のお知らせ
Body:
西日本シティ銀行からのお知らせ
https: // www .ncbank .co .jp
━━━━━━━━━━━━━━━━━
お客さまのお取引を規制させていただきましたので、お知らせします。
規制内容は下記をご確認ください。

取引規制日時：2023/06/27
取引規制内容
・出金規制
・入金規制
規制解除するには下記へアクセスし、お手続きしてください。
▶️規制解除
※取引制限について 2023/06/27 までにご回答いただけない場合、
お客様のご回答に著しい不足がある場合、もしくは
ご回答から当社規約第８条（禁止事項）に抵触すると判断した場合、
やむを得ず、お客様の口座を解約させていただくことがございますので、あらかじめご了承ください。
━━━━━━━━━━━━━━━━━
■マイナンバーのご登録がお済みでないかたへ
お早めにお手続きをお願いいたします。
サービスサイトにログイン後、「各種手続」−「マイナンバーのご提供（個人番号通知届出）」よりお手続きください。
https: // www .ncbank .co .jp
━━━━━━━━━━━━━━━━━
株式会社西日本シティ銀行
登録金融機関福岡財務支局長（登金）第6号
加入協会日本証券業協会一般社団法人金融先物取引業協会
© THE NISHI-NIPPON CITY BANK, LTD. All right reserved.

送り主を調べてみる

まず、私は口座を持っていない銀行なので、速攻で無視してもよかったのですが、ちょっと気になったのでヘッダーを見てみました。Yahooのブラウザメーラーの場合、メールの右上にある「詳細ヘッダー」というリンクを押すと、メールのタイトルや、宛先、経由地などを示す情報が表示されます。そこにある「Return-Path」という、メールを手紙に例えたなら「手紙の本文ではなく、封筒に書かれた送り主」の情報を見てみると……

「yutnusad.com」というところからのアドレスになっていました。どう考えても日本の銀行が使っているアドレスでは無いと思います。恐らくフィッシング詐欺ですね。

フィッシングサイトへの誘導部分

本文を読む限り、特に怪しいヒッカケ部分（変なアドレスが書いてあったりするような場所）は見当たらないように見えるのですが、地雷はここに仕掛けられていました。

この「規制解除」という文字がリンクになっており、そこにマウスカーソルを合わせると、ブラウザーの左下に飛び先が表示されます。それを見ると「～gse.icu/hels27.php」。末尾が「PHP」ということは、プログラミング言語「PHP」で作られたWebアプリケーションのサイトです。まぁそこまでは実際の企業でもあり得るので良いとしましょう。見るべきはその前のアドレス本体部分の末尾「.icu」。この部分には、そのアドレスの国や、用途といった情報が込められます（トップレベルドメイン、などと呼ぶ部分です）。で、このICUドメインは何かというと……趣味や娯楽用で「I See You」という意味と掛けた名称なんですね。とても銀行が使うアドレスとは考えられません。また、URLの序盤の「xuliabm0nsa...」も、とても日本の企業が使うアドレスとは思えませんね。というわけで、怪しい詐欺メールであることが確定です。

www.gmo.jp

メールは迷惑メールとして登録後、削除しましょう。このリンクをクリックしただけで何かが起きるとは考えづらいですが、恐らく銀行のWebページに似せた偽物ページが表示され「お客様の口座番号と、オンラインバンキングのパスワードを入れてください」みたいなことになっているのだとおもいます。そして、入力された情報はPHPで組まれた悪者のWebアプリプログラムが読み取り、悪者が持つ「引っかかった獲物データベース」に登録され、「西日本シティ銀行の顧客アカウント情報」として売りさばかれるのではないかと。