『詐欺メール』『【楽天証券】口座開設申込未完了のご連絡/お客様情報の入力に進んでください』と、来た件

2025年2月21日

★フィッシング詐欺メール解体新書★

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

いつもご覧くださりありがとうございます！

☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆

件名の見出しを確認
メールアドレスのドメインを確認
宛名を確認
リンク先のドメインを確認

できる限り分かりやすく説明していいます。
最後までお読みいただても5分程度ですのでごゆっくりご覧ください。
では、進めてまいります。

前書き

今回は、『楽天証券』に成り済ます不審なメールのご紹介となります。
昨日も楽天証券を騙る詐欺メールをご紹介したばかりで、舌の根も乾かぬうちにまた新たなメールが届きました。
本文には、身に覚えのない楽天証券の総合口座の申込みについての事柄が書かれています。

以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。

メール本文

件名：[spam] 【楽天証券】口座開設申込未完了のご連絡/お客様情報の入力に進んでください
送信者："楽天証券株式会社" <rakuten@fydbvp.cn>

このたびは楽天証券の総合口座をお申込みいただき、誠にありがとうございます。
本メールは、楽天証券口座開設時に登録されたメールアドレスで、お申し込みが完了されていないお客様に送信しています。

楽天証券には以下の様な様々なメリットがあります。

・楽天銀行との連携サービスが使いやすい
・楽天ポイントが貯まる
・ポイント投資ができる
・手数料が業界最低水準
・取引ツールが充実している

お客様に、楽天証券の口座開設申込を再開するためのURLを発行しました。
▼お手続きの開始はこちらです(iPhoneの場合は「Safari」、Androidの場合は「Chrome」で開いてください。)
h**ps://member.rakuten-sec.co.jp/service/setup/identDocSelect.do?logindigest=3030303030303030303030383131343230383330303030303030303030303030303030303030202409301039e594acd8d1e6dbea43d12dda515d8b0a66eaa8ce

※「申込完了」せず申込日から7日を経過した場合、上記URLは無効になります。その場合はお手数ですが、口座申込手続きを始めからやり直してください。
※本人確認のお手続きには個人番号カード（マイナンバーカード）がおすすめです。初期設定時のマイナンバー提出が不要となります。
（お手続きの途中で一度中断された場合、顧客情報保護のためマイナンバー情報は保存されません。
初期設定時にマイナンバーの提出があらためて必要となる場合があります。予めご了承ください。）

────────────────────────
※本メールに心当たりのない方は、お手数ですがこのメールを破棄してください。
※このメールはシステムにより自動配信されています。
本メールにご返信いただきましてもご質問、ご依頼等にはお答えできませんのでご注意ください。
お問い合わせの際は、ヘルプ＆サポートをご確認ください。
https://www.rakuten-sec.co.jp/web/support/
────────────────────────
楽天証券株式会社 https://www.rakuten-sec.co.jp/
東京都港区南青山2-6-21
金融商品取引業者関東財務局長（金商）第195号、商品先物取引業者
加入協会：日本証券業協会、一般社団法人金融先物取引業協会、日本商品先物取引協会、一般社団法人第二種金融商品取引業協会、一般社団法人日本投資顧問業協会

その申し込みが完了していないので様々なメリットを並べ立て申し込みを完了するようリンクに誘導するものです。
でも身に覚えのない申込に対し、どこの誰がリンクへ行くのでしょうか。
かなり無理やりなメールですよね。

件名の見出しを確認

この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

メールアドレスのドメインを確認

送信者として記載されているメールアドレスのドメイン(@より後ろ)は『fydbvp.cn』
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
因みに『楽天証券』が利用するメールアドレスの一覧が、オフィシャルサイトの『メール送信者情報について』と言うページに記載されています。
これによるとそのすべてのドメインが『@rakuten-sec.co.jp』であると書かれています。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from fydbvp.cn (unknown [103.71.21.114])

ドメイン『fydbvp.cn』を割当てているIPアドレスとこのReceivedフィールドに記載されているIPアドレスを比較してみましょう。
こちらが『aWebAnalysis』さんで取得したこのドメインに割当てているIPアドレスです。

割当てているIPアドレスとReceivedフィールドのIPアドレスが合致したので、この送信者は自身のメールアドレスを偽ることなく何食わぬ顔でこのメールを送信してきたことになります。

では、このドメインに関する詳しい情報を『Whois』さんで取得してみます。

中国の『阿里云計算有限公司(アリババ)』を介して取得されたこのドメインの取得者の氏名は、私には読めない漢字3文字の方。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を『IP調査兵団』で導き出してみると、モスクワ付近であることが分かりました。
それにこのIPアドレスは既にブラックリストに登録されて、そのカテゴリは『サイバーアタックの攻撃元』とされています。

宛名を確認

通常大切なメールの冒頭には『○□△ 様』と言ったように『宛名』が書かれています。
でもこのメールにはその宛名が存在しません。
そりゃそうですよね、このメールの送信者は受信者の情報をメールアドレスしか知らないわけだから宛名なんて書きようがありません。
どうせどこかから漏洩したメールアドレスのリストを入手し、そのメール宛に無選別でこういったメールを送信しているのですから。

リンク先のドメインを確認

さて、本文に『楽天証券』の公式ドメインを使って直書きされた詐欺サイトへのリンクですが、当然偽装されていて、実際に接続されるサイトのURLは以下の通りです。
【h**ps://rbip1pmgpvo.top/ITS/V_ACT_Login.html】
(直リンク防止のため一部の文字を変更してあります)
これまた楽天証券のドメインとは異なるものが利用されていますね。

先程と同様に『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。