架空請求メールが来たんだけど

件名：株式会社CICメディア機関松山義政
差出人：CIC 松山義政 <info@seikatusidou.site>

件名が件名じゃない、差出人のメールアドレスのトップレベルドメインが .site という点で明らかに詐欺なんですけど。

本文をコピペしてみますね。変なところをこっちでアンダーライン引いておきます。

突然のご連絡失礼いたします。
弊社は調査会社として、主に調査業務、及び和解手続きの代行業等の業務を行なっております。

現在、お客様がご使用の携帯端末より、以前ご登録された【モバイル情報コンテンツのサイト運営者様】（以降、クライアント会社とする）より弊社に【身辺調査依】が入りましたのでご報告させて頂きます。

クライアント会社としては、無料期間中に退会処理手続きが行われていない為、登録状態のまま放置が続いており、利用料金の長期滞納状態にあるとのことです。

現在、管轄裁判所を通じて、各携帯電話事業者より発信者端末電子名義認証を行い、電子消費者契約法に基づき、民事裁判（少額訴訟）手続きを行っているところです。

法的処置への移行の前に双方にとってより良い解決に向かう為、詳細の確認、和解、相談等ご希望の方は、至急、担当までお問い合わせ下さい。

※本通知を最終通告とさせて頂きますとのですので、ご了承の程お願い致します。
※電話回線が混み合ってる場合は繋がりにくい場合もございますのでご了承下さい。
※なお、メールでの返答には対応しておりませんので、ご了承下さい。
---------------------------------------
株式会社CICメディア機関
電話番号 070-4219-3567
担当松山義政
---------------------------------------
【受付時間】平日9:00から19:00
定休日日曜日
---------------------------------------

えっと、未納があるんだったら、クライアントがどこで、期間はどれぐらい使っていたのか、とか、金額はいくらなのか具体的に明記するでしょう？

っていうか、株式会社CICメディア機関ってどこにあるんですか？電話番号がケータイってすごいですね。普通は固定電話でしょう？？

ヘッダーをみてみましょう。リターンパスが謎です。送信元の情報と送信手段が明記されているところを赤色で示します。

Return-Path: <seikatu@host.jul201701.com>
X-Original-To: <私のメールアドレス>
Delivered-To: <私のメールアドレス>
Received: from mail306.phy.lolipop.jp (localhost [127.0.0.1])
by mail306.phy.lolipop.jp (Postfix) with ESMTP id 88CE21B804E3
for <私のメールアドレス>; Sun, 2 Jul 2017 16:25:47 +0900 (JST)
Received: from 172.19.44.38 (172.19.44.38)
by mail306.phy.lolipop.jp (LOLIPOP-Fsecure);
Sun, 02 Jul 2017 16:25:47 +0900 (JST)
X-Virus-Status: clean(LOLIPOP-Fsecure)
Received: from mx-proxy003.phy.lolipop.lan (HELO mx-proxy003.phy.lolipop.jp) (172.19.44.38)
by mx-proxy003.phy.lolipop.jp (qpsmtpd/0.82) with ESMTP; Sun, 02 Jul 2017 16:25:47 +0900
Received: from 192.249.76.133 (192.249.76.133)
by mx-proxy003.phy.lolipop.jp (LOLIPOP-Fsecure);
Sun, 02 Jul 2017 16:25:46 +0900 (JST)
Received: from seikatu by host.jul201701.com with local (Exim 4.89)
(envelope-from <seikatu@host.jul201701.com>)
id 1dRZGL-0003ya-QD
for <私のメールアドレス>; Sun, 02 Jul 2017 16:25:45 +0900
X-Mailer: acmailer3.0 http://www.ahref.org/
X-SENDTO: <私のメールアドレス>
X-HID: 149897212610342
X-SCD: 14989100215699584_acmailer4.0.1
Reply-To: info@seikatusidou.site
To: <私のメールアドレス>
From: =?ISO-2022-JP?B?Q0lDIBskQj4+OzMbKEIgGyRCNUFALxsoQg==?= <info@seikatusidou.site>
Subject: =?ISO-2022-JP?B?GyRCM3Q8MDJxPFIbKEJDSUMbJEIlYSVHJSMlIjUhNFgbKEIgGyRCPj47MxsoQiAbJEI1QUAvGyhC?=
MIME-Version: 1.0
Date:Sun, 2 Jul 2017 16:25:45 +0900 (JST)
Content-Type: text/plain; charset="ISO-2022-JP"
Content-Transfer-Encoding: 7bit
Message-Id: <E1dRZGL-0003ya-QD@host.jul201701.com>
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - host.jul201701.com
X-AntiAbuse: Original Domain - <私のメールアドレスのドメイン>
X-AntiAbuse: Originator/Caller UID/GID - [500 498] / [47 12]
X-AntiAbuse: Sender Address Domain - host.jul201701.com
X-Get-Message-Sender-Via: host.jul201701.com: authenticated_id: seikatu/primary_hostname/system user
X-Authenticated-Sender: host.jul201701.com: seikatu
X-Source: /usr/bin/perl
X-Source-Args: /usr/bin/perl /home/seikatu/public_html/email_send_ctl.cgi
X-Source-Dir: seikatusidou.site:/public_html

調べてみると…アメリカから送信？まあ、サーバーがアメリカにあるってことでしょうけど、CGIを介してメール送信してますね。

f:id:wanichan:20170702173327p:plain

ちなみに、メールアドレスを検索してみるとこんな感じ。

f:id:wanichan:20170703101301p:plain

メーラーCGIのログイン画面が表示されます。

WHOISで調べてみたら、登録者を見つけました。7月1日にお名前.comで取得したドメインであることを確認済みです。

Domain Name: SEIKATUSIDOU.SITE
Registry Domain ID: D49116826-CNIC
Registrar WHOIS Server: whois.discount-domain.com
Registrar URL: http://www.onamae.com
Updated Date: 2017-07-06T08:07:23.0Z
Creation Date: 2017-07-01T08:02:28.0Z
Registry Expiry Date: 2018-07-01T23:59:59.0Z
Registrar: GMO

登録者を調べてみたら

Registrant Name: yosimasa simoji
Registrant Organization: simoji yosimasa
Registrant Street: 1550-2 Fuchaku
Registrant City: Kunigami Gun Onna Son
Registrant State/Province: Okinawa
Registrant Postal Code: 904-0413
Registrant Country: JP
Registrant Phone: +81.988662333
Registrant Fax:
Registrant Email: super1_super2_super@yahoo.co.jp

沖縄県国頭郡恩納村冨着1550-2に在住の下地義政氏です。

以下のメールや電話で通報できます。