【危険】『【楽天市場】登録情報の変更処理が失敗しました(変更失敗通知)』メール、実例と見分け方
★詐欺メール解体新書★
「」を装ったフィッシング詐欺メールを受信しました。
本メールは公式を装っていますが、リンク先・送信元ともに偽物です。
同様のメールを受け取った方は、絶対にリンクを開かないでください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
- 件名の見出しを確認
- メールアドレスのドメインを確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
では、進めてまいります。
前書き
確かに宛先は私のメールアドレスなのですが、本文中に書かれている宛名が全然思い当たらないメールアドレスにるとても不思議で怪しいメールが届きました。
今回は、そんな「楽天グループ」に成り済ます不審なメールのご紹介となります。
では、詳しく見ていくことにしましょう。
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
またリンクのURLは直リンク防止のため文字を一部変更してあります。
メール本文
ここから本文
↓↓↓↓↓↓
件名:[spam]【楽天市場】登録情報の変更処理が失敗しました(変更失敗通知)
送信者:*****@*****.*** ←私のメールアドレス
revolution244@skgh.nir.jp 様
いつも楽天グループのサービスをご利用いただき誠にありがとうございます。
お客様の楽天アカウントに登録された情報に関し、更新が必要な状態が確認されました。
特にカード情報、有効期限、住所などに変更がある場合は、以下リンクよりお早めのご確認をお願いいたします。
ご確認が完了しない場合、アカウントの一部機能に制限がかかる可能性がございます。
※このメールはアカウントの安全確認を目的として自動送信されています。
※お心当たりのない場合は、楽天カスタマーサポートまでご連絡ください。
今後とも楽天グループをよろしくお願いいたします。
本メールは送信専用アドレスから配信されています。返信はできません。
© Rakuten Group, Inc. All Rights Reserved.
↑↑↑↑↑↑
本文ここまで
※本記事は注意喚起目的で掲載しています
この怪しいメールは、受信者の個人情報やクレジットカード情報を盗み取ろうとするフィッシング詐欺メール(偽メール)である可能性が非常に高いです。
絶対にメール内のリンク(「楽天ログイン」など)をクリックしないでください。
ではその理由を簡潔にまとめておきます。
- 送信元メールアドレスが不審
送信者が「ユーザー自身のメールアドレス」になっているのは、「なりすまし」の典型的な手口です。
楽天がユーザー自身のメアドを使ってメールを送ることはありません。 - 宛名がメールアドレスになっている
楽天からの公式な重要通知であれば、通常は登録している「ユーザーの本名」が記載されます。
revolution244@… のような他人のメールアドレスが宛名になっているのはとても不自然です。 - 内容が非常にあいまい
「更新が必要な状態が確認されました」「カード情報、有効期限、住所など」これらどの情報が・いつ・どのサービスで問題なのか一切書いてありませんよね。
これはフィッシングメールの典型文言です! - 不安を煽る表現
「ご確認が完了しない場合、アカウントの一部機能に制限」これもクリックさせるための常套句です。
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
メールのヘッダー情報を確認
では、送信者の素性が分かるメールヘッダーの「Receivedフィールド」から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。
Received: from infoo1.swiftpostmail.cfd (unknown [38.49.29.61])
Received のカッコ内は、送信サーバーが自身で書き込むもので、偽装することはできません。
ここには「.cfd」と言うドメインが使われていますが、このドメインはサイバー犯罪に多く使われるドメインとして知られています。
このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を「IP調査兵団」で導き出してみると、ロサンゼルス付近です。
これは回線情報から見ると、楽天とは一切関係のない海外ホスティングサーバーから送られたメールです。
そしてこの付近は、詐欺・スパム業者がよく使う地域で、VPS(安価な仮想サーバ)を使った一時的送信が多く、日本向け詐欺メールの定番ルートとなっています。
リンク先のドメインを確認
さて、本文の「楽天ログイン」と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://let.appealaccount.cfd/v7/alogin/letlogin?cid=85642596345】
(直リンク防止のため一部の文字を変更してあります)
ご覧の通り楽天のドメインとは異なるものが利用されていますから、このサイトは公式サイトではありません!
このドメインに関する詳しい情報を「Grupo」さんで取得してみます。
割当てているIPアドレスは「172.67.194.37」
「IP調査兵団」でこのIPアドレスからそのロケーション地域を調べると、詐欺サイト設置場所は、カナダのトロント市庁舎付近であることが分かりました。
ここに記載されている通り、利用されているプロバイダーは「Cloudflare」のようですが、多くの詐欺サイトで利用されるプロバイダーです。
このIPアドレスは、CloudflareのAnycast IP帯(同じIPアドレスを、世界中の複数のサーバが同時に使う仕組み)で、実際のサーバ所在地は隠蔽されています。
故にここに表示される場所(トロント市庁舎付近)はCloudflareのエッジ拠点に過ぎませんからここに詐欺サイトが設置されているとは限りません。
Cloudflareは世界中に拠点があり、アクセスした人に一番近い拠点が表示されるだけで楽天・運営者・犯人の場所ではありません!
アクセス元・タイミングによっては、ロサンゼルスであったり、東京であったり、今回の様にトロントであったりと別の拠点IPが返ることがあります。
Cloudflareサービスには詐欺にとって更に以下の利点があります。
- 本当のサーバIPを隠せる
- 無料・即日で使える
- HTTPSが簡単
- 通報されても別ドメインへ即切替可能
この Cloudflare 自体は正規サービスですが、これらの利点を悪用されてしまっています。
リンクを辿ってみると、一旦はウイルスバスターにブロックされましたが、解除して進むと開いたのは「確認中… 少々お待ちください。」書かれた真っ白なページ。
これは主に次のどれか(または複数)を行うためのページです。
接続側環境チェック(踏み台選別)
攻撃者側で:
-
ブラウザ種別
-
OS
-
言語(日本語か)
-
IP(国・地域)
-
広告ブロッカーの有無
などをチェックし、条件に合えば偽ログイン画面へ遷移し合わなければ何も出さずこのページに留めると、誰にでも同じ画面を出さないのが最近の手口です。
最初にウイルスバスターにブロックされたことが、ここに危険なサイトが存在していることを物語っていますね。
まとめ
メールの文面や送信者のメールアドレスとリンク先のドメインが「楽天」のものと異なるのでこのメールを詐欺メールと判定いたしました。
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;