”.XYZ”ドメインにご注意を楽天カードと称し日本語がぎこちない本文のメールが届きました。
難しい横文字の言葉を多用し不安に陥らせようとするのはフィッシング詐欺メールのいつもの手口。
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は
「[spam] 【重要なお知らせ】楽天本人確認などを措置取らせていただく必要がございます。メール番号:53722145」
「措置」なんて言葉を使って脅しのような件名ですね。(;^_^A
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「”Rakuten.jp” <support@service.xyzputerxyze.xyz>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 このメールアドレスに楽天を連想させる文字はどこにもありません。(笑)
それに”.xyz”なんてトップレベルドメインは、格安で取得できるため危険なサイトで使い捨てで
利用されることが多いことで知られています。
差出人は法人契約者?では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「support@service.xyzputerxyze.xyz」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「2ADBE1D0A6A493B6F568EC0356706390@tspxw」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from service.xyzputerxyze.xyz (unknown [140.227.54.48])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、メールアドレスにあったドメイン”service.xyzputerxyze.xyz”について調べてみます。
”140.227.54.48”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと全く同じですからアドレス偽装はありません。 「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”140.227.54.48”は、差出人が利用しているメールサーバーのもの。
このIPアドレスが使われているプロバイダーとその割り当て地を確認してみます。
プロバイダー名にある「InfoSphere(インフォスフィア)」は、NTTPCコミュニケーションズの提供する
法人向けプロバイダー。
ということは、この差出人は法人契約者と言うことになりますね。 地図は、IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上で
ご覧ください。 ピンが立てられたのは、「JR神田駅」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
宛名が「楽天市場のお客様」だなんてでは引き続き本文。 | 【重要なお知らせ】カード情報更新のお知らせ 楽天市場のお客様 アカウント***@*****.*** は最近、多数の偽のトランザクションと悪意のあるコメントを生成しました。また、アカウントには複数のリモートログイン操作レコードがあり、システムはこのアカウントが盗まれた疑いがあります。このアカウントは現在ブロックされています。システムは近い将来このアカウントを削除し、違反記録を司法当局に提出します。アカウントのロックを解除するには、アカウント情報を時間内に送信してください。すでに送信している場合は、このメールを無視してください。 アカウントが盗まれたのですか、それともシステムに問題がありましたか?確認のためにアカウント情報を送信し、アカウントを再度有効にしてください。 検証関連情報 お客様のセキュリティは弊社にとって非常に重要なものでこさいます。ご理解の程、よろしくお願い申し上げます。 |
まず、真っ先に気付くのは「楽天市場のお客様」なんて宛名。
こんなアカウントに関する重要なメールなら、アカウント名か氏名が書かれているはずです。 このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「検証関連情報」って書かれたところに張られていて、リンク先のURLがこちらです。
なにやらAmazonっぽいURLですね… このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。
おっと、まだ「未評価」のようです。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。 このURLで使われているドメインは、サブドメインを含め”amcrazycorybantic.run.place”
このドメインにまつわる情報を取得してみます。
申請者情報は、ほとんどがプライバシー保護でマスクされていてさっぱり分かりません。 このドメインを割当てているIPアドレスは”34.85.78.53”
このIPアドレスを元に利用されているプロバイダーとその割り当て地を確認してみます。
今度のプロバイダーは、「Google LLC」
そして割り当て地は、東京都杉並区付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 無防備に放置されているであろう詐欺サイトへ安全な方法で訪れてみました。
すると開いたのはなんとAmazonのログインページ…
あなた楽天カードじゃなかったっけ?…(^▽^;)
まとめもちろんこんなのに誰も騙されないと思いますが、リンク先がAmazonだなんてどういうつもりで楽天を
騙っているのでしょうか?
バカバカしい… 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
