ブログ - Update Required - Netflix Support というネットフリックスを騙るフィッシングメール
Update Required - Netflix Support というネットフリックスを騙るフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2024/10/28 19:25
ネットフリックス入ってないんだ.興味はあるんだけどね.

引用: でも誘導サイトにアクセスしたら,また別の闇が.

引用:
Dear customer,
We've blocked your account access because of problems in your payment method, you cant watch your favorite TV PROGRAMMES & FILMS using your account anymore. please confirm/update your payment details.
お客様へ
お支払い方法に問題があったため、お客様のアカウントへのアクセスをブロックいたしました。
闇というほどでもないけど,キャバクラのサイトに接続されました.

キャバクラのサイトが乗っ取られて何か素行が悪いファイルが置かれているのかなと思った.
まずはドメインの確認.
住所が「北海道渋谷区」となっている.そもそも怪しい.
公開連絡窓口の連絡先のドメイン情報を調査.
今は?存在しないドメイン.
Webサイトの情報から探ってみる.
サーバの置いてあるIPアドレスがわかったので,どこを利用しているか確認.
カゴヤ・ジャパンというサーバ・インフラ事業を展開する会社.
次に,法人名から調べてみることに.

全国法人DBというサイトで,法人番号がわかった.URLがマスクしてあるけど,今回のキャバクラサイトと同一の模様.
年金情報から,従業員数を調査.

年金的には会社は存在してない模様.もう無くなったのかな?

Twitter(現X)をみると,今年の9月の投稿があるから,最近までは存在しているようだけど.
VirusTotalを見ると,マリシャス判定されている.

多分,カゴヤ・ジャパンが排除したんじゃなかろうか.

キャバクラのサイトが乗っ取られて何か素行が悪いファイルが置かれているのかなと思った.
まずはドメインの確認.
$ whois club-slow.jp🆑
[ JPRS database provides information on network administration. Its use is ]
[ restricted to network administration purposes. For further information, ]
[ use 'whois -h whois.jprs.jp help'. To suppress Japanese output, add'/e' ]
[ at the end of command, e.g. 'whois -h whois.jprs.jp xxx/e'. ]
Domain Information: [ドメイン情報]
[Domain Name] CLUB-SLOW.JP
[登録者名] 株式会社エアーキューブ
[Registrant] aircube Corp,Inc.
[Name Server] 01.dnsv.jp
[Name Server] 02.dnsv.jp
[Name Server] 03.dnsv.jp
[Name Server] 04.dnsv.jp
[Signing Key]
[登録年月日] 2009/07/02
[有効期限] 2025/07/31
[状態] Active
[最終更新] 2024/08/01 01:05:04 (JST)
Contact Information: [公開連絡窓口]
[名前] 飯田 秀一
[Name] Shuichi Iida
[Email] iida@tomedia.co.jp🈁
[Web Page]
[郵便番号] 150-0002
[住所] 北海道渋谷区🈁
渋谷3-13-7 3-13-7
五常ビル3F
[Postal Address] Shibuya-ku
3-13-7 Shibuya
Gojou Building 3F
[電話番号] 03-5766-6242
[FAX番号]
$
公開連絡窓口の連絡先のドメイン情報を調査.
$ whois tomedia.co.jp🆑
[ JPRS database provides information on network administration. Its use is ]
[ restricted to network administration purposes. For further information, ]
[ use 'whois -h whois.jprs.jp help'. To suppress Japanese output, add'/e' ]
[ at the end of command, e.g. 'whois -h whois.jprs.jp xxx/e'. ]
No match!!🈁
JPRS WHOISは、JPRSが管理している以下のドメイン名に関する情報を確認でき
るサービスです。
・登録されているJPドメイン名
・JPRSを管理レジストラとするgTLD等ドメイン名
詳しくは https://jprs.jp/about/dom-search/jprs-whois/ を参照してください。
参考: IPアドレスのWHOISサーバ
・JPNIC WHOIS(whois.nic.ad.jp)
・APNIC WHOIS(whois.apnic.net)
・ARIN WHOIS(whois.arin.net)
・RIPE WHOIS(whois.ripe.net)
・LACNIC WHOIS(whois.lacnic.net)
・AfriNIC WHOIS(whois.afrinic.net)
$
Webサイトの情報から探ってみる.
$ dig club-slow.jp🆑
; <<>> DiG 9.10.6 <<>> club-slow.jp
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47202
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;club-slow.jp. IN A
;; ANSWER SECTION:
club-slow.jp. 3600 IN A 203.142.200.81
;; Query time: 13 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Mon Oct 28 19:03:42 JST 2024
;; MSG SIZE rcvd: 57
$
$ whois 203.142.200.81
% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
% Information related to '203.142.192.0 - 203.142.207.255'
% Abuse contact for '203.142.192.0 - 203.142.207.255' is 'hostmaster@nic.ad.jp'
inetnum: 203.142.192.0 - 203.142.207.255
netname: KIR
descr: Kagoya Japan Corporation
descr: karasuma bldg 8F 85-1 Mikura-cho sanjyo-dori karasuma-nishiiru nakagyo-ku Kyoto-shi Kyoto
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
status: ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints : support@kagoya.jp
mnt-by: MAINT-JPNIC
mnt-irt: IRT-JPNIC-JP
mnt-lower: MAINT-JPNIC
last-modified: 2024-03-07T10:08:02Z
source: APNIC
irt: IRT-JPNIC-JP
address: Uchikanda OS Bldg 4F, 2-12-6 Uchi-Kanda
address: Chiyoda-ku, Tokyo 101-0047, japan
e-mail: hostmaster@nic.ad.jp
abuse-mailbox: hostmaster@nic.ad.jp
phone: +81-3-5297-2311
fax-no: +81-3-5297-2312
admin-c: JNIC1-AP
tech-c: JNIC1-AP
auth: # Filtered
remarks: hostmaster@nic.ad.jp is invalid
mnt-by: MAINT-JPNIC
last-modified: 2024-09-28T21:13:03Z
source: APNIC
role: Japan Network Information Center
address: Uchikanda OS Bldg 4F, 2-12-6 Uchi-Kanda
address: Chiyoda-ku, Tokyo 101-0047, Japan
country: JP
phone: +81-3-5297-2311
fax-no: +81-3-5297-2312
e-mail: hostmaster@nic.ad.jp
admin-c: JI13-AP
tech-c: JE53-AP
nic-hdl: JNIC1-AP
mnt-by: MAINT-JPNIC
last-modified: 2022-01-05T03:04:02Z
source: APNIC
% Information related to '203.142.200.0 - 203.142.201.255'
inetnum: 203.142.200.0 - 203.142.201.255
netname: KIR
descr: KAGOYA JAPAN Inc.
country: JP
admin-c: SK1294JP
tech-c: JP00077427
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
last-modified: 2024-02-27T17:26:04Z
source: JPNIC
% This query was served by the APNIC Whois Service version 1.88.25 (WHOIS-JP3)
$
次に,法人名から調べてみることに.

全国法人DBというサイトで,法人番号がわかった.URLがマスクしてあるけど,今回のキャバクラサイトと同一の模様.
年金情報から,従業員数を調査.

年金的には会社は存在してない模様.もう無くなったのかな?

Twitter(現X)をみると,今年の9月の投稿があるから,最近までは存在しているようだけど.
VirusTotalを見ると,マリシャス判定されている.

多分,カゴヤ・ジャパンが排除したんじゃなかろうか.