空きドメインのメールアドレスから!? 最近は成人式がハッピーマンデーとなり今朝は連休明けの火曜日。
思い起こせば30数年前に、私の成人式は1月15日もう記憶も薄れてしまいました。 そんなことは置いておいて、今朝は楽天グループを騙る怪しげなメールをご紹介
使用と思います。
そのメールがこちら。
 楽天が私に急ぎの業務って、私、いつから楽天に雇われの身になったのでしょうか?(笑)
そう思いながら本文を見てみると、業務には一切関係無く、私の楽天アカウントが
ロックされている旨を示すものとなっています。 では、プロパティーから見ていきましょう! 件名は
「[spam] [楽天] 急ぎの業務がありますのでご注意ください。」
本文を見ると分かりますが、おとりの件名ですね。
って言うか、おとりと言うよりお門違いと言った方が良いのでしょうか。
大体一般人に楽天グループから仕事の依頼が来るはずがありません。
単に気や興味を引かせるための件名です。
先頭に”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「”Rakuten” <amazoni-co-jp@goldlanda.com.cn>」
ん?…なんでアマゾンぽい”amazoni-co-jp”なんてアカウントなの?
それに”goldlanda.com.cn”なんてドメイン、楽天グループには全く関連性がありません。
本物の楽天グループからのメールなら、差出人アドレスのドメインは必ず”rakuten.co.jp”
となるはずです。
それにこのドメイン”goldlanda.com.cn”は現在空いていて使われていないようです。(笑)
発信元はまたしても!? では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「<amazoni-co-jp@goldlanda.com.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「<5F41F6B4641953830654596AE06BF626@ypdyyjj>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from ypdyyjj (unknown [113.105.200.19])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。
 やはりと言うか案の定と言うか、想像通り中国が表示されました。
広東省広州市付近と出ているので、差出人が利用したメールサーバーはこの付近に
設置されているようです。
ヒントがいっぱいの本文 では、メールの本文です。 ○○@○○○○.○○○ 様
平素より楽天グループのサービスをご利用いただき、誠にありがとうございます。
アカウントのエラーまたは不完全なプロファイルにより、システムは残念ながら
高リスクのアカウントに設定されており、アカウントと対応する機能の権限が部分的に
ロックされています ←”。”はどこへ?楽天ウェブサービス:
アカウントのロック解除にご協力ください。
以下のリンクを使用して、Rakuten Webサイトにアクセスし、情報を更新してください。
※楽天グループ株式会社
楽天会員情報管理ページよりご確認いただけます。
https://member.id.rakuten.co.jp/rms/nid/menufwd ←リンク偽装されています。
表示された画面にお情報ごとをご入力頂くか 。 ←ここで終わるか? | アマゾンや楽天グループからのメールで宛名がメールアドレスだったことは一度もありません。
ですから本文書き出しにある宛名がメールアドレスの場合は100%詐欺メールです。
詐欺師側は、どこかで売られていた流出メールアドレスに当ててこのメールを送っているので
差出人側で知りえるのはこちらのメールアドレスのみだからこうなるのです。 気になる箇所は注記しておきましたが、このメールもご多分に漏れずです。
詐欺メールでは、句読点がおかしかったり、変にへりくだりなんでも”お”を付けたり
文章がおかしな位置で終わったりします。 本文に書かれている「楽天会員情報管理ページ」へのリンクはこのように書かれています。
「https://member.id.rakuten.co.jp/rms/nid/menufwd」
このURLは本物の楽天グループのログインページに接続されますが、実はこれHTMLにより
リンク偽装されています。
実際に接続されるURLはこちらです。
 なんか、楽天なのかアマゾンなのかどっちつかずのドメインですね(笑)
使われているドメインは”rakutan009.amzaaoioo1.net”
このドメインについて調べてみましたがその殆どがプライバシー保護。
分かったのは割当てているIPアドレスは”198.211.50.166”で、持ち主は中国湖南省にある
企業であることくらい。
 取得できたIPアドレス”198.211.50.166”でその割り当て地を確認してみると。
 表示されたのは、ロサンゼルスのサンタクラリタです。
やはり今回も中国とアメリカのセットでしたね。
このパターン多すぎ…(;^_^A
まとめ なんやかんや気を引く件名を使ってきますね。
まあでも件名に反する本文なので誰も騙されることは無いでしょう。
このエントリーに書いたいくつかのヒント、しっかり覚え被害を未然に防いでいただければ
幸いです。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
