『詐欺メール』「【メルカリ】個人情報確認」と、来た件

2021年11月11日

メルカリの正規ドメインは”mercari.com”です！

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

メルカリとは全く関連の無いメールアドレス

メルカリを装いユーザーを騙してメルカリアカウントと個人情報を詐取する詐欺メールが
届いていますのでご注意ください。

それがこちらのメール。

こちらのメーラーの不具合かそれともメール自体がおかしいのか改行幅が狭くなっています。
見るからに中華フォントですよね。

件名は
「【メルカリ】個人情報確認」
危ない、危ない。
いつも付いてる”[spam]”ってスタンプがありません。
うちのサーバー最近ちょいちょいさぼるりやがるのでで注意しないといけません。

差出人は
「”Mercari” <contact@ggsfefee.com>」
メルカリの正規ドメインは”mercari.com”
このアドレスと全然違うじゃないですか！
まさかこんなの使って本気で騙すつもりなのでしょうか？(笑)

また「さくらインターネット」ユーザーの仕業

ではメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<contact@ggsfefee.com>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<00c6ffe774d8$23e4e537$9e32e309$@dmdcbdjr>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from gdfgd0.ggsfefee.com (ik1-214-77912.vs.sakura.ne.jp [153.120.39.166])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

よく見ると”sakura.ne.jp”なんて大手レンタルサーバー「さくらインターネット」さんの
ドメインが記載されていますが…
はて？どんな関連があるのでしょうか？？

まず、メールアドレスにあったドメイン”ggsfefee.com”について確認してみます。

よく見てください。
”Received”にあったIPアドレス”153.120.39.166”と同じものが書かれています。
これにより送信者のメールアドレス偽装は無かったことになります。

では、このIPアドレス”153.120.39.166”を使ってそのサーバーの位置情報を拾ってみましょう！

結果はご覧の通り。
「さくらインターネット株式会社」さんは、大阪市北区に本社があります。
これは最近ちょくちょくある「さくらインターネット」ユーザーの仕業と断定できますね。

第5条は規約違反に対する措置の内容

いつもご利用いただきありがとうございます。

現在メルカリでは、皆さまにより安心・安全にアプリをご利用いただけるよう各機関と
連携のうえマーケットの健全化に努めており、利用規約「第5条」に基づき、随時お客さまの
ご本人確認やご利用状況の確認を実施しております。

へぇ～、「利用規約「第5条」」ね。
ちょっとメルカリに行ってその第5条を見てきたんですが「ご本人確認やご利用状況の確認」
なんてどこにも記載されてなく、第5条は規約違反に対する措置の内容。
まぁ、なんだかんだ言ってもそんなのはリンクを押させるための口実。
そのリンクは「Mercariサインイン」と書かれた赤いボタンに付けられています。
そのリンク先のURLがこちら。