宛名が『楽天市場のお客様』って…
『重要なお知らせ』と題して楽天からこのようなメールが届きました。
冒頭の宛名が『楽天市場のお客様』って、違和感しかありませんね。
楽天ならユーザーの氏名は把握しているはずですから、本来なら宛名は受取人の氏名が書かれるはず。
この差出人ほんとに楽天なのでしょうか?
では、このメールを解体してその辺りじっくりと見ていきましょう!
まずはプロパティーから見ていきましょう。
件名は『[spam] 【重要なお知らせ】Rakuten楽天からのご連絡』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
差出人は
『"rakuten.co.jp.207.200.114.150″ <contact@rakuten.go.jp>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
あらら、”207.200.114.150”なんてIPアドレスむき出しにしてきましたね。
それに本当に楽天が差し出したメールなら<>内のメールアドレスのドメインは”rakuten.co.jp”のはず
それなのにこのメールの差出人欄は”rakuten.go.jp”と1文字違っています。
ご存じの方もいらっしゃるとは思いますが、”go.jp”と言うドメインは、日本の政府機関や独立行政法人向けに
与えられるもので、一般企業ではあまり利用されないドメインです。
因みに差出人名欄に書かれているIPアドレス”207.200.114.150”
どうせでたらめだろうとは思いますが、一応調べてみると。
現在ニューヨークで利用されているもので、ホスト名に『まだ確認されていません』と書かれているので
ドメインは割り当てられていないもののようです。
もしかして”Amazon”の詐欺もやってるの?
では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。
| Received:『from Amazon.co.jp (unknown [110.18.12.140])』 |
えっ?あれ?…
私には『Amazon.co.jp』と書かれているように見えますが錯覚でしょうか…(;’∀’)
もしかしてこの差出人、Amazonも騙っているようですね。
”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する
では、メールアドレスにあったドメイン”rakuten.go.jp”が差出人本人のものなのかどうかを
調べてみます。
まず、このドメインはどのIPアドレスに割当てられているかを確認しました。
これによると、このドメインはどのIPアドレスにも割り当てられていないようです。
では次に、このドメインが存在するものなのかどうか『お名前.com』さんで取得可能か調べてみました。
『〇』が表示されているので、このドメインは現在空き状態。
空き状態のドメインからメールを送ることはできないのでこのアドレスは偽装確定!
”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
記載されている末尾の数字”110.18.12.140”は、そのサーバーのIPアドレスになり、これを紐解けば
差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。
送信に利用されたのは、『China Unicom(中国聯合通信)』と言うプロバイダーです。
位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。
代表地点としてピンが立てられたのは、『中国 内モンゴル自治区 フフホト』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
リンク先は一時的に閉鎖中か
では引き続き本文。
| 【重要なお知らせ】Rakuten楽天からのご連絡
楽天市場のお客様
下記内容をご確認いただきますよう、何卒宜しくお願い申し上げます。
お客様の楽天市場にご登録のクレジットカード情報が第三者によって不正にログインされた可能性がございました。
セキュリティ保護措置として、お客様の楽天アカウントが一時的に停止しました。
お手数をおかけして申し訳ありませんが、引き続き楽天市場や楽天カードをご利用になる場合は、お手続きをお願いいたします。
楽天市場ログイン
なお、24時間以内にご確認できない場合、誠に勝手ながら、アカウントをロックさせていただく場合があります。
お客様のセキュリティは弊社にとって非常に重要なものでこさいます。ご理解の程、よろしくお願い申し上げます。 |
ん?『お客様の楽天市場にご登録のクレジットカード情報が第三者によって不正にログインされた』
楽天に登録したクレカ情報が漏れ不正利用されたのなら理解できますが、不正にログインされたって
おかしな表現ですよね。
回線情報やIPアドレスの割り当て地からしてどうやらこの差出人は日本人ではなさそうですね。
このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『楽天市場ログイン』って書かれたところに付けられていて、
そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。
既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。
このURLで使われているドメインは”www2-rakuten.cc”と、楽天っぽいけど楽天じゃない”.cc”が使われた
ドメイン名になっていますね。
このドメインにまつわる情報を取得してみます。
『State:FU JIAN』と『Country:CN』と書かれているので、管理者は中国の福建省の方。
それにどうやらこのドメインは、現在どのIPアドレスにも割り当てられていないようなので
ネット上では使うことのできないドメインとなっており、それ故にリンク先の詐欺サイトは
閉鎖されているものと思われます。
ほらね。
まとめ
詐欺サイトは、何らかの理由で閉鎖されていましたが、閉鎖されているからと言って安心はできません。
IPアドレスを割当て直せばいつでも復活させることができる状態です。
差出人のメールアドレスにしろリンク先のURLにしろログインの必要なメールの場合は、必ずドメインを
確認し、送信元の公式なドメインかどうか必ずお確かめください!
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |