自社名が間違っている?!
何とも気色の悪いフォントを操る怪しいメールが届きました。
書かれている内容は、身に覚えのないパスワードの変更。
よく見ると『楽天会員アカウントのパスワード変更が変更されました』って
『変更が変更』???(;^_^A
それにしても何ですかこのくねくねしたフォントは。
Wordにコピペしてその実態を調べるとこのフォントは『SimSun』と言うフォントのようです。
生成AIによると『SimSun(新宋体)は、簡体字中国語スクリプトを使用して中国語の言語を設定するために
設計された書体です』と書かれています。
ということは、このメールの作成者は中国人?
でも送信者には『楽天株式会社』と書いてありますが、楽天がこのような中国のフォントでメールを
ユーザー宛に送るってなんかおかしくない?…
えっ?あっ?ん?…楽天株式会社??
あれ、楽天の正式な社名は確か『楽天グループ株式会社』で、2021年4月1日付で「楽天株式会社」から
「楽天グループ株式会社」に商号を変更したはずです。
それに送信者のメールアドレスって”uber.com”と書かれていますが、これってウーバーイーツさんの
ドメインじゃない?
これはどう見ても偽物からのメールのようですね。
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。
件名は『[spam] 【緊急】楽天e-NAVIからの重要なお知らせ』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
差出人は
『"楽天株式会社" <********@uber.com>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
@より前のアカウント名部分はなぜだか私のメールアカウントが記載されています。
ドメイン部分は”uber.com”なので、ウーバーイーツのドメインに私のアカウントがくっついていると
何とも不思議なメールアドレスですね…(^^;)
やはり中国
では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。
| Received:『from mail.woaiwei.top (unknown [106.227.33.41])』 |
ありゃ、楽天でもウーバーでもない”mail.woaiwei.top”なんてドメインが記載されていますね。
もう完全に楽天からのメールではありませんね!
ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーのもので
すなわち差出人が使った送信サーバーの自局情報です。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
でもこの数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する
まあ結果は見えていますが、一応メールアドレスにあったドメイン”uber.com”が差出人本人の
ものなのかどうかを調べてみます。
これがドメイン”uber.com”を割当てているIPアドレスの情報です。
これによると”34.98.127.226”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIP”106.227.33.41”と同じ数字の羅列になるはずですが、それが全く異なるので
このメールのドメインは”uber.com”ではありません。
これでアドレスの偽装は確定です!
”Received”に記載されているIPアドレス”106.227.33.41”は、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。
やっぱり中国でしたね。
地図に立てられたピンの位置は、中国の江西省にある南昌市付近。
そして送信に利用されたのも中国の『CHINANET Jiangx province IDC network』と言うプロバイダーです。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
リンク先サイトはアメリカで運営
では引き続き本文。
| 楽天会員お客様
平素より楽天グループのサービスをご利用いただき、誠にありがとうございます。
ただいま、お客様からの変更処理に基づいて楽天会員アカウントのパスワード変更が変更されました。
※秘密の質問と答えをご登録されている場合は、不正アクセス被害防止のため、あわせてご変更頂くことをおすすめします。
以下の会員情報管理トップページより、秘密の質問と答えの登録・変更が可能です。
■楽天会員情報の管理画面
ご利用確認はこちら |
このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『ご利用確認はこちら』って書かれたところに付けられていて、
そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。
既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。
このURLで使われているドメインは”lab-plasma.com”とこれまた楽天には全く関係の無いもの。
このドメインにまつわる情報を取得してみます。
中国広東省の方が取得済みのこのドメインを割当てているIPアドレスは”198.44.248.180”
再びこのIPアドレスも利用されているホスティングサービスとその割り当て地を確認してみます。
今度ピンが立てられたのは、アメリカバージニア州のAshburn(アッシュバーン)
そして詐欺サイトで利用されているホスティングサービスは『HUNGTAK International Network Limited』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。
危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。
本物そっくりのログインページが開きました。
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。
まとめ
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |
