差出人のメールアドレスに注目家族皆でクリスマスパーティーを楽しんでいた最中、こっそりこのようなメールが届いていたのを翌日の朝 気付きました。 最近ちょくちょく見かけるメルカリに成りすましたフィッシング詐欺メールです。  書いてあるのは、突然の利用停止の連絡。 これは私だけに言っているのかそれともメルカリ自体のサービスが停止されるのか分かりません。 件名は 「[spam] 【メルカリ】一時的な利用停止、ログインして確認してください」 私はメルカリしてないので騙されたくても騙されることができません。(笑) ”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「メルカリ <no-reply@mercari.jp>」 メルカリらしいメールアドレスですが、メルカリさんの正規ドメインは、残念ながら”mercari.com” どうせこの”mercari.jp”を使ったメールアドレスも偽装でしょうけどね。
北京が発信元では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<no-reply@mercari.jp>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20211225174549288406@mercari.jp>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from mercari.jp (unknown [106.75.3.49])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。  中国北京市付近が表示されました。 ということは、このメールは北京市付近に置かれたメールサーバーを使って送られてきたことになります。
簡単すぎるメール本文引き続き本文を見ていきます。 いつもメルカリをご利用いただきありがとうございます。 メルカリのサービスはまもなく停止します。 下記の接続から停止原因を確認してください 。 ▼ご利用確認はこちら |
えらく簡単な本文ですね。 「▼ご利用確認はこちら」と書かれている部分に実際に詐欺を行う詐欺サイトへのリンクが付けられて います。 そのリンク先のURLがこちらです。  jpやらcomやらごちゃごちゃ書いてありますがこのURLで使われているドメインは”chwc5t.cn” このドメインの持ち主とIPアドレスを確認してみます。  持ち主の登録メールアドレスは、マイクロソフトが無料で提供している”outlook.jp”ってドメインが 使われています。 そして登録氏名は漢字二文字のおそらく中国の方。 このドメインを割当てているIPアドレスは”172.67.149.18”です。 ではこのIPアドレスを使って割り当て地域を確認してみます。 「アメリカ,ニュー・ジャージー州,ニューアーク」という地名が出てきました。 もちろんおおよその位置ですが、この付近に設置されたサーバーで詐欺サイトが稼働しているようです。 少しだけのぞいてみるとサイトは元気に絶賛稼働中ですので要注意です!
まとめメルカリを騙ったフィッシング詐欺メールが最近多くなってきています。 私のように利用していない方は騙されようがありませんが、世間には大勢の方がご利用のことと思いますので ご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |