『詐欺メール』「楽天e-NAVIアカウントの支払い方法を確認できず、注文を出荷できません. 」と、来た件

ケチケチ詐欺師、ドメインくらい取得したらどう？

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

歴史のあるテンプレで送られてきた

これは、「楽天e-NAVI」になりすましたフィッシング詐欺メールです。
本文には、昔から楽天市場やアマゾンを騙って多く送られてきたテンプレが使われていますが、
それにしても相変わらず「必要・ェ」は直っていませんね(笑)

「楽天e-NAVI」とは、楽天カードユーザー専用のオンラインサービスで、月々のご利用明細や
利用可能額の確認などを行うことができます。

この本文を利用した「楽天e-NAVI」を騙るものは初めてでしたので敢えて今回はこのメールを
調査してみようと思います。

では、このメールもプロパティーから見ていきましょう。

件名は
「[spam] 楽天e-NAVIアカウントの支払い方法を確認できず、注文を出荷できません. 57」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
末尾の「57」は、メールの信憑性を高めるために付けられた適当に付けられた連番だと思われます。

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”【楽天市場】” <pre_reg@ac.rakuten-bank.co.jp>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

「」さんには、””って正規ドメインをお持ちです。
正規ドメインが有るのにそれ以外のこのようなでたらめなドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。

上手く化けているつもりでしょうけど…
”rakuten-bank.co.jp”は確かに「楽天銀行」さんのドメインですが、件名に”[spam]”とあるので
このメールは詐欺メール故に偽装の疑いがあります。
その辺りを含め、次の項で見ていくことにしましょう。

やるまでないけど偽装を立証してみる

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「no@rakuten.co.jp」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
あらら差出人のメールアドレスのドメインは”rakuten-bank.co.jp”だったのに
ここでは”rakuten.co.jp”にすり替わっていますよ。(笑)

Message-ID:「9D1D1F0B58DE25ECEF1820727F09B23B@rakuten.co.jp」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも”rakuten.co.jp”にすり替わっていますね。

Received:「from rakuten.co.jp (unknown [119.115.103.66])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
そしてここも”rakuten.co.jp”にすり替わっています。

やるまでないと思うのですが、ルーティーンなので一応やっときますか。
まずは、”rakuten-bank.co.jp”について情報を取得してみます。
このドメインを割当てているIPアドレスが”Received”に記載されているものと同じなら
差出人のメールアドレスだと認めますが、そうでない場合、特定電子メール法違反となり
処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰するほか、法人に対して3000万円以下の罰金
さて、どう出るのでしょうか？

ご覧の通り、このドメインは「楽天銀行株式会社」さんの持ち物です。
そして”220.213.225.92”がこのドメインを割当てているIPアドレス。
本来同じでなけれならない”Received”のIPアドレスが”119.115.103.66”ですから全く異なります。
これでアドレス偽装は確定。
この方にはしっかり罪を償っていただかなければなりませんね！

因みに”rakuten.co.jp”はと言うと…

割り当てエチルIPアドレスは”133.237.16.234”ですから、これも全く異なります。

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”119.115.103.66”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられたのは、「中国遼寧省瀋陽市瀋河区」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

暗号化されてないIPアドレスむき出しの詐欺サイト

では引き続き本文。

楽天e-NAVI お客様

残念ながら、あなたのアカウント

楽天e-NAVI を更新できませんでした。
これは、カードが期限切れになったか。請求先住所が変更されたなど、さまざまな理由で
発生する可能性があります。
アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため

楽天e-NAVI 情報を確認する必要・ェあります。今アカウントを確認できます。

楽天e-NAVI ログイン

なお、24時間以内にご確認がない場合、誠に遺憾ながら、アカウントをロックさせていただくことを
警告いたします。

パスワードを変更した覚えがない場合は、至急(03)-5757-5252までお電話ください。

もう見慣れすぎて暗唱できちゃいそうな本文。(笑)
しかし、どうして「必要・ェ」は直さないのでしょうか？(笑)

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「楽天e-NAVI ログイン」って書かれたところに張られていて、リンク先の
URLがこちらです。

あちゃ～、IPアドレスむき出しっすか？
いくら詐欺だと言えども少しくらいお金かけてドメイン位取得してくださいよ(笑)
そしてプロトコルが、”https“じゃなくて”http”ですか…(;^_^A
信用第一の信販企業のサイトがSSLで暗号化されていないなんて言語道断！
因みにSSL化されていないサイトにChromeで接続するとアドレスバーにはこのように表示されます。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。

このURLで使われているIPアドレスは”54.199.199.53”
このドIPアドレスにまつわる情報を取得してみます。

このIPアドレスには”ap-northeast-1.compute.amazonaws.com”と言うドメインが割当てられている
ようです。
そして、このIPアドレスは、アマゾンのウェブサービス「Amazon Web Services」で使われているもの
らしいので、リンク先の詐欺サイトは、このウェブサービス上で運営されているようです。

このIPアドレス”54.199.199.53”を元にその割り当て地を確認してみます。