突然の「中華フォント」11月も半ばに入り平地でも紅葉がピーク。 平日にも関わらず名所付近では各地で幹線道路に渋滞が見られるようになってきました。 そんな秋の深まりを感じる今朝も残念ながらフィッシング詐欺メールは後を絶ちません。 今回は、楽天を騙ったフィッシング詐欺メールをご紹介させていただきます。 何ともお粗末な子供が書いたような文面。 そして後半突然の如く襲ってくる「中華フォント」(笑) 「今アカウントを確認できます。」 これ、フィッシング詐欺メールには良く出てくる要注意コメント。 是非覚えておいてください。 では、プロパティーから見ていきます。 件名は 「[spam] 【緊急のお知らせ】あなたからのご返事をお待ちしております」 ”緊急”の割には”お待ちしております”なんてあまり緊急性を感じないのは私だけでしょうか? ”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは 全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”Rakuten” <no-reply@rakuten.co.jp>」 確かに”rakuten.co.jp”は楽天グループの正規ドメインですが、”[spam]”が示す通り このメールは詐欺メールですからこのメールアドレスは100%偽装です。
このIPはサイバーアタックの攻撃元!では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<update@tightly-akrikouaio.xyz>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 でも、ドメインに楽天には全く関係の無い”tightly-akrikouaio.xyz”とあるので この時点でOUTです。 | Message-ID:「<20211117132630588858@tightly-akrikouaio.xyz>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from tightly-akrikouaio.xyz (unknown [23.234.250.212])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
ではまずドメイン”tightly-akrikouaio.xyz”とIPアドレス”23.234.250.212”の関連を 調べてみます。
ピッタリ合致しましたので差出人の本当のメールドメインは”tightly-akrikouaio.xyz”で正解。 このドメインの持ち主は中国広東省の方であることも判明しました。 そしてこのIPアドレスの割り当て地と危険度も調査。 その結果はこちら。 割り当て地は「アメリカ・カリフォルニア州・ロサンジェルス・サンタクラリタ」 危険度は「高」で種類は「Webでのサイバーアタックの攻撃元」 どうやらメールだけではなく同じIPでウェブサイトも開いているようですね。 とても危険です!
詐欺メールを見分けるポイント本文にはこのように書かれています。 Rakutenお客様 私たちは残念ながらあなたに知らせます あなたのアカウントが更新できなくなりました。 あなたが結びつけたカードの期限が切れていませんか? 理由はいろいろありますが、より良いサービスを提供するために、楽天のホームページで アカウントを確認してください。 今アカウントを確認できます。 |
ポイントは4つ。 1つ目は「宛名」 「Rakutenお客様」なんて宛名は不自然。 本物の楽天からならユーザー登録時に記入した氏名が表示されるはず。 2つ目は文章が幼稚なこと。 さも翻訳されたような文章ですよね? 3つ目は「今アカウントを確認できます」 これ、詐欺メールでは良く目につく言葉です。 普通ならこんなにせかさず「こちらからご確認ください」などと書くと思いますが。 そして4つ目も詐欺メールにありがちな「中華フォント」 気持ち悪いでしょ? これは「Yahei」と呼ばれる簡体字中国語フォントです。 このフォントを見かけたら要注意です!
URLは必ず確認しましょうこのへんてこな文章の先にあるのが詐欺サイトへのリンク。 このメールの場合は「楽天ログイン」と書かれている部分に付けられています。 そのリンク先のURLがこちらです。 使われているドメインは”member-rakiden.net” 楽天の正規ドメインは”rakuten.co.jp”ですから全く異なります。 では、このドメインも調査してみます。
メールのドメインと同じ地域の方が持ち主のようです。 そして割り当てているIPアドレス”96.43.83.168 ”から割出された地域もメールの際と同じ。 このURLで運営されているフィッシング詐欺サイトは、このような楽天の偽サイト。 サイトのコピーは著作権に引っかかる立派な犯罪。 罪に罪を重ねる悪い奴らです! ここでユーザー情報を打込み先に進むと、個人情報入力フォーム、カード情報入力フォーム と進み全てが犯人の手中となり、奴らはその情報で詐欺を行います。
まとめ今回も詐欺メールを見分けるいくつかのポイントを例を挙げてご紹介しました。 こんなメール来ないに越したことはありませんが、どうしてもどこからかメールアドレスが 漏れ、それをリスト化されたものが売買されてしまう世の中なのでこればっかりは仕方が ありません。 私たち受け身側は、とにかく詐欺メールを見分ける知識を付けることがとても大切です。 くれぐれもご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |