『詐欺メール』楽天から『ご注意ください：アカウント削除予定のお知らせ』と、来た件

★フィッシング詐欺解体新書★

なんとも説得力が無いメール

件名だけ見たらどこから送られてきたのか全く分からない『アカウント削除予定のお知らせ』と
書かれたメールが届きました。

開封し中身を見ると、ロゴから『楽天』からであることが分かりました。
更に下の方にスクロールさせてみると『楽天市場 カスタマーサポート』とも書かれています。
差出人のメールアドレスを見ると”rakumail.jp”なんてドメインが使われていますが
楽天なら公式ドメインは”rakuten.co.jp”のはずですが…
なんとも説得力が無いメールだこと。

悪意のあるメールなら、いつも件名に『[spam]』と見出しが付けられているはずだけど
このメールは迷惑メールや詐欺メールではないのだろうか？

では、このメールが迷惑メールや詐欺メールではないのかを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『ご注意ください：アカウント削除予定のお知らせ』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
それにしても『[spam]』って見出しが無いのはなぜでしょうね？

差出人は
『”カスタマーサポート” <example@rakumail.jp>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

調べてみると”rakumail.jp”は楽天のキャリアメールのようですね。
楽天モバイルに契約すると与えられるメールアドレスのドメインのようです。
考えてみれば、そんなドメインのメールでアカウントに関する内容を送ってくるなんて
おかしいですよね？

どうしてここにYahooと書かれているの？

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

ん？どうしてこのように”yahoo-co-jp.info”なんてYahooっぽいドメインが書いてあるのでしょう？
もしかしてこの差出人、Yahooの詐欺メールにも関与しているのでしょうか？

ここに”yahoo-co-jp.info”なんて書いてある時点でこのメールはアドレス偽装です。
これは特定電子メール法違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

”Received”に記載のIPアドレスは、差出人が利用した送信サーバーに割当てられたもの。
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われたホスト情報とその割り当て地を確認してみます。

送信に利用されたのは、アメリカの『Baxet Group Inc.』と言うプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、『ロンドン』付近です。
ってことは、楽天がわざわざロンドンのメールサーバーを利用して私にこのようなメールを
送ってきたってこと？…ちゃんちゃらおかしいわ。

『トランザクション』なんて難しい言葉を使い、受信者の不安を煽る

では引き続き本文。

『大切なお客様へ』から始まっていますが、ビジネスメールなら普通は最初に『〇□様』って
宛名を書くでしょ？
それが無いなんてビジネスメールマナーに反しています！
それに『不正なトランザクション』なんて難しい言葉を使い、受信者の不安を煽っていますね。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『ログイン』って書かれたところに付けられていてリンク先の
Norton『Safe Web』での危険度評価がこちらです。

ん～、一応注意と書かれていますが、疑わしいとも書かれているのでちょっと懐疑的な評価ですね。

このURLで使われているドメインは、サブドメインを含め”admat.cn”と楽天には全く関連性の無い
中国の国別ドメインのものが使われています。
このドメインにまつわる情報を取得してみます。

どうやらこのドメインは、中国の貿易企業が取得しているもののようです。
このドメインを割当てているIPアドレスは”155.94.135.6”
このIPアドレスを元にサイト運営に利用されているホスト情報とその割り当て地を確認してみます。

サイト運営に利用されているホストはこれまたアメリカを拠点とした『QuadraNet Enterprises LLC』

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
地図上にピンが立てられたのは、詐欺サイトのメッカ『ロサンゼルス』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

本物そっくりのログインページが開きました。
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。

まとめ

件名や差出人に社名が全く無い非常識なメールなのでそこでピンときますよね？
って言うかピンと来てくださいよ！(笑)

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;