IPアドレス範囲外の数値?! いつもご覧いただきありがとうございます! 楽天カード、私も持っていますが皆様の中でもお持ちの方多いと思います。 そんな楽天カードもこれまた詐欺師の標的とされることが多いものです。 今日もこのようなメールが私の元に届いておりますので、早速ご紹介していきたいと思います。 このメールは、通常とは異なる環境からのログインがあったことを通知するもので その根拠は、3つ箇条書きにされているうちのIPアドレス。 このIPアドレスは、インターネットに接続されると必ず割り振られるもので、通常はデバイスを再起動 しないと変更されないものです。 なので差出人は、いつもと異なるIPアドレスから接続されたことを理由に『普段ご利用のない環境から』と 書いているものと思われます。 でも、このメールには、目に見えて不審な箇所が2箇所存在します。 まずその1箇所目が差出人のメールアドレス。 あとにも説明しますが、自身を楽天と称しておきながらの楽天らしからぬメールアドレスが使われています。 そして2箇所目は、その根拠となったIPアドレス。 これは4つの数字の集まりでそれぞれ1から255までの数字と決められていますが、この中の1つが256と その範囲から外れた数字が使われていますので、このIPアドレス自体絶対に存在しないもの! これらの観点から、このメールは楽天からのものではなく、悪意を持った人間から送られた フィッシング詐欺メールであると判断することができます! では、このメールを解体し詳しく見ていきましょう! まずはプロパティーから見ていきます。 件名は『[spam] [楽天] ログイン通知 / Login Notification (3/17/2024 10:22:19 PM JST (GMT + 09:00))』 ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。 ()内に掛かれているタイムスタンプは、このメールの信憑性を高めるために付けられたもの。 でもこの件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は 『”楽天カード株式会社” <likelyise-obk@methodon-pictoffer.com>』 皆さんはご存じでしょうか? この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。 ですから、ここは信用できない部分です。 使われているドメイン”methodon-pictoffer.com”は楽天が通常使う”rakuten.co.jp”とは全く異なるもの。 因みにこのドメインを検索してみると『対応するIPアドレスがありません』と… もしかしてと思い更にこのドメインを『お名前.com』さんで確認すると、このような結果が… 『他の人に取られる前に今すぐ登録しましょう』ってことは、このドメインは現在されにも使われていない 空きドメイン! まさか空きドメインでメールを送るなんて冗談でしょ?! いやいや、そんなことできるはずないのでこのドメインは偽装であることが分かりますね! じゃこの差出人の本当のメールアドレスが気になりますよね? ウソの塗り重ね では、このメールが悪意のあるメールであることを立証していきましょうか! まず、このメールのヘッダーソースにある”Received”と”Sender”を確認し調査してみます。 私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 ここに掲げた”Sender”は、送信者を示すもの。 偽装できる部分ではあるもののメールの差出人として記載のあったメールアドレスと異なるので やはり”likelyise-obk@methodon-pictoffer.com”はウソ。 もしかしてこのドメイン”fuxingupiao.cn”もウソかも…? ってことで調べてみました。 『お名前.com』さんでは検索できなかったので、『ゴンベエドメイン』で検索してみます。 ほら~… カートへ入れられるってことは空きドメインですね。 どんだけウソをつけば気が済むのでしょうね…(^^;) この”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。 末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で 同じ数字の集まりは世界中に1つしかありません。 因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした ものがドメインと呼ばれるものです。 ”Received”に記載されているIPアドレス”23.94.203.29”は、差出人が利用したメールサーバーの情報で 偽装は不可能。 これを紐解けば差出人の素性が見えてきます。 このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。 (※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 地図に立てられたピンの位置は、アメリカのマリエッタ付近。 そして送信に利用されたプロバイダーは、カナダに拠点を置く『HostPapa』 このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー を介して私に届けられたようです。 詐欺サイトは強固にブロック中 では引き続き本文。 このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。 そのリンクは、本文内にいくつか付けられていて、そのリンク先は、コンピュータセキュリティブランドの トレンドマイクロの『サイトセーフティーセンター』での危険度はこのように評価されていました。 既に『フィッシングサイト』としてしっかりブラックリストに登録済みですね。 リンクへ移動してもサイトはブロックされるでしょう。 このURLで使われているドメインは”rakiuten.ofuoj.cn” このドメインにまつわる情報を取得してみます。 このドメインは、時折詐欺メール関連の調査で出てくる中国の方が申請を行っています。 割当てているIPアドレスは”47.245.38.241” このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。 (※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 地図に立てられたピンの位置は、国内最多の詐欺サイト数を誇る地域の『杉並区立和泉二丁目公園』付近。 利用されているホスティングサービスは、中国の『Alibaba Cloud LLC』 この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 リンク先の詐欺サイト、いくつかのブラウザで接続を試みましたが、全てブロックされ残念ながら 辿り着くことができませんでした。 まとめ どのような詐欺サイトが展開されているのか気になるところではありますが、確認することができず 残念でした。 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの フィッシング詐欺サイトが作られ消滅していきます。 次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |