おヌシは誰だ?! いつもご覧くださりありがとうございます! なんか最近うちのブログ収益上がらない…(;^_^A
どうしたんでしょうかね?
まあ収益のために書いてるとか書いてないとかって話しは置いといても
去年の同じころと比較して1/5程度まで落ちているんだけど全く原因不明です。
どなたか分かる方いらっしゃったら教えてほしいものです。
なんて愚痴っても仕方ないので、いつものように淡々と進めてまいります。 さて、今回ご紹介したいのがこちらの楽天から送られてきたとされるメールです。
 本当は先週末にご紹介するつもりが、なんやかんやで時間が取れず週明けになってしまいました。(^^;) 何の変哲もないアンケートのように思いますが、届いたメールアドレスは楽天には利用していないもので
このメールアドレスに楽天からのメールが届くはずが無いのです。
ということはこのメール、何らかの悪意を持った迷惑メールや詐欺メールの疑いがあります。 では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきます。 件名は『[spam] 楽天グループのサイトに関するアンケートのお願い(2024/05/30)』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は
『楽天会員ニュース <myinfo-rakuten.co.jp@tkmjunr.cn>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 もう皆さんご承知のことかと思いますが、楽天から届くメールのドメイン(@以降)は”tkmjunr.cn”なんて
中国のドメインではなく”rakuten.co.jp”です。
確かに@より前に”rakuten.co.jp”とありますが、ここはあくまでアカウント名でドメインではありません。
という訳でこのメールは、どうやら楽天を騙った詐欺メールのようですね。
では次の項でもう少し詳しく調べてみることにします。
案の定中国の方が申請されたドメイン では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。 末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。 ”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは
送信者のデバイスに割当てられたもので偽装することができません。 このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。 ※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する では、メールアドレスにあったドメイン”tkmjunr.cn”が差出人本人のものなのかどうかを『Grupo』さんで
調べてみます。
 これがドメイン”tkmjunr.cn”の登録情報です。
これによるとこのドメインは、私には読めない漢字を含む3文字の氏名の方が取得しているようで
中国アリババの子会社である阿里云計算有限公司(アリババクラウド)に依頼してこのドメインを取得
したようです。
そして”118.194.230.56”がこのドメインを割当てているIPアドレス。
もちろんこのメールは楽天からではありませんが”Received”のIPアドレスと全く同じ数字なので
このメールアドレスは差出人ご本人さんのもので間違いなさそうです。 ”Received”に記載されているIPアドレス”118.194.230.56”は、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を『IP調査兵団』さんで
確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 代表地点として地図に立てられたピンの位置は、日本大学鶴ヶ丘高等学校総合グラウンド 研修館付近。
ここは詐欺サイトの調査でよく見掛ける地図なのですが、詐欺メールに発信地にもなっているんですね。
あくまで大雑把な代表地点なのをお忘れなく。
そして送信に利用されたプロバイダーは香港にある『Ucloud Information Technology (Hk) Limited』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー
を介して私に届けられたようです。
またしても中国の方のドメイン では引き続き本文。 ご機嫌な時ならついついアンケートに答えてしまいそうです…(笑) このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『詳しくはこちら』って書かれたところに付けられていて、
そのリンク先は、コンピュータセキュリティブランドのトレンドマイクロの
『サイトセーフティーセンター』での危険度はこのように評価されていました。
 既に『フィッシングサイト』としてしっかりブラックリストに登録済みですね。 このURLで使われているドメインは”information.qactxsk.top”と楽天にはかすりもしないもので
どこからどう見たって怪しいドメインです。
このドメインにまつわる情報を取得してみます。 
このドメインもアリババクラウドで取得されていますね。
割当てているIPアドレスは”43.133.203.190”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を
再び『IP調査兵団』さんで確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 代表地点として立てられたピンの位置は、先程と同じ日本大学鶴ヶ丘高等学校総合グラウンド研修館付近。
こちらもあくまで大雑把な代表地点でございます。
利用されているホスティングサービスは中国の『Shenzhen Tencent Computer Systems Company Limited』 リンク先サイトを覘いてみましたが開いたのは『この localhost ページが見つかりません』と書かれた
エラーページ。
これはAmazonの詐欺サイトでよく使われる手口ですが、私のようなPCからの接続ではこのような
エラーページに導き、スマホやタブレットなどの場合は詐欺サイトへ誘導されるようです。
それにどのような意味があるのかは知りませんが、わざわざスマホからこのサイトを覘くことは
止めておきます。
まとめ 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
