『詐欺メール』『【楽天銀行】支払いを行いました』と、来た件
★詐欺メール解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
- 件名の見出しを確認
- メールアドレスのドメインを確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
では、進めてまいります。
前書き
楽天銀行から、アカウント登録に使用していないメールアドレス宛に「支払いを行いました」とメールが来ました。
それも2通連続で…
どうして楽天銀行が知らないはずのメールアドレスにこのようなメールが届いたのでしょうか?
今回は、そんな「楽天銀行」に成り済ます不審なメールのご紹介となります。
では、詳しく見ていくことにしましょう。
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
またリンクのURLは直リンク防止のため文字を一部変更してあります。
メール本文
ここから本文
↓↓↓↓↓↓
件名:[spam] 【楽天銀行】支払いを行いました
送信者:楽天銀行 <hrppo@m-kankou.jp>
楽天銀行 【楽天銀行】支払いを行いました
(*****@*****.***) 様
下記日時に、支払いを行いました。
■支払い日時
2025/12/21 09:44:17
詳細はログイン後、「My Account」→「入出金明細」からご確認ください。
ログインして入出金明細を確認
**********************************************************************
このメールは送信専用です。
ご不明点等は、当行WEBサイトよりお問い合わせください。
楽天銀行 h**ps://www.elpasomassages.com/
**********************************************************************
(CC102)
↑↑↑↑↑↑
本文ここまで
このメールは、フィッシング詐欺メールである可能性が非常に高いです。
以下の点に不審な点があります。
- 送信元のメールアドレス
送信者のドメインが @m-kankou.jp となっていて、楽天銀行の公式ドメイン @rakuten-bank.co.jp ではありません。
因みにこのドメインは、「南三陸観光ポータルサイト」さんのドメインで、偽装に利用されたものです。 - 内容が極端に抽象的
金額の記載は無く、支払い先の記載も無し、「ログインして確認」だけを強調しているのは、 偽サイトにログインさせ、ID・パスワードを盗む典型的な手口に酷似しています。 - 宛名
このメールの宛名が、私の氏名ではなく、メールアドレスになっています。
これは送信者が私の氏名を知らないことを示しています。 - 全角混じり
「My Account」の”y”は全角文字でそれ以外のアルファベットは半角文字で書かれています。
これも詐欺メールでよく見られる特徴の一つです。
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
メールアドレスのドメインを確認
では、送信者の素性が分かるメールヘッダーの「Receivedフィールド」から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。
Received: from 123-241-242-178.cctv.dynamic.tbcnet.net.tw (HELO m-kankou.jp) (123.241.242.178)
本来ならここには、送信者のメールアドレスと同じドメインが記載されるはずですがそれとは全く異なる「cctv.dynamic.tbcnet.net.tw」なんて台湾のドメインが記載されていますね。
もうこの時点でこのメールは偽メール確定!
Received のカッコ内は、送信サーバーが自身で書き込むもので、偽装することはできません。
このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を「IP調査兵団」で導き出してみると、やはり台湾の台中付近です。
リンク先のドメインを確認
さて、本文の「ログインして入出金明細を確認 」と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://www.elpasomassages.com/login】
(直リンク防止のため一部の文字を変更してあります)
ご覧の通りこれも楽天銀行のドメインとは異なるものが利用されていますから、このサイトは公式サイトではありません!
このドメインを割当てているIPアドレスを「aWebAnalysis」さんで取得してみます。
割当てているIPアドレスは「172.67.190.157」
「IP調査兵団」でこのIPアドレスからそのロケーション地域を調べると、詐欺サイト設置場所は、カナダのトロント市庁舎付近であることが分かりました。
これは最近のトレンドで多くの詐欺サイトがこの付近に設置されています。
リンクを辿ってみると、一旦はウイルスバスターにブロックされましたが、解除して進むとこのようなページが開きました。
公式サイトとはURLが全く異なるので、これは本物そっくりの偽ログインページです。
当然、ここにIDとパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となり口座操作されて詐欺の被害に遭うことになります。
まとめ
メールの文面や送信者のメールアドレスとリンク先のドメインが「楽天銀行」のものと異なるのでこのメールを詐欺メールと判定いたしました。
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;