差出人のメールアドレスに注目 週末の朝もゆっくりさせていただけないのですね(^^;
今朝は、Appleになりすまし、アカウントがロックされているからリンクから解除のために
身元を確認しろと言うフィッシング詐欺メールが届いています。
 では、解説していきますね。 件名は
「[spam] 通知 : 最近誰かがあなたのAppleアカウントにログインしました。(参照ID: APP-88115978)」
最近、件名の末尾にコード番号や通し番号を付けてくる詐欺メールが多くみられます。
”参照ID:”もそのようなものだと思いますが、おおよそ信ぴょう性を持たせるための物だと
思いますが、件名をどんな書き方されても構いませんが、このメールには”[spam]”と
スタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「”Apple Service” <AppleSupp0rt@mail.diq18t5npdda98c1h7x35p.apple.com>」
どこのアップルがこのような意味の分からないアカウントのメールアドレス使いますかって
話ですよ。
確かにドメインが”apple.com”となっていますが見るからにおかしいです。
アドレス偽装判定 では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「<www-data@intl1.rkn-mail.com>」 ありゃ。。。もうすでにドメインが”apple.com”じゃなくて”intl1.rkn-mail.com”
になっちゃっていますね。ウソ確定です!(笑)
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「<1642802252-7b0af71a966405d37f5f8a8ae39e97e1-8462d45f6daf8e85ad6e9d4ed429abb8-kcxz@>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from intl1.rkn-mail.com (intl1.rkn-mail.com [137.184.219.138])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | まず、このドメイン”intl1.rkn-mail.com”とIPアドレス”137.184.219.138”の相関性を確認
してみます。
この2つの要素に相関性が見られれば、この差出人のメールアドレスののドメインは
”apple.com”ではなくて”intl1.rkn-mail.com”であることが証明できます。
とあるサイトで”intl1.rkn-mail.com”について調べてみます。
 やはり、このドメインは”Received”に書かれていたIPアドレスに割当てられていることが
分かりました。
これにより差出人のメールアドレスドメインは”apple.com”ではなくて”intl1.rkn-mail.com”
であることが証明できました。
偽装確定です!!
連れまわされた上で開いたサイトは?! 続いて本文。
詳しくは下の画像に書き込んでおきました。
 日本人がメールを送る際に「親愛な」とか「親愛なる」とか使いますか?
使いませんよね!
そして宛名がメールアドレスってのにも違和感を覚えますが… さて、当然フィッシング詐欺メールですから詐欺サイトへのリンクが施されています。
そのリンク先のURLがこちらです。 
どこがAppleじゃ?!
全くかすりもしないURL… ではまず真っ先にこのリンク先が危険かどうかをノートンの「セーフウェブレポート」で
確認してみると。
やはり危険なサイトと表示されました!
 今度はこのURLで使われているドメイン”3ds.aytlink.net”について、とあるサイトで情報を
拾ってみました。
詳しくは図中に記入しておきましたが、持ち主はアメリカマサチューセッツ州の方。
組織名はプライバシー保護されていて確認できませんでした。
 このドメインを割当てているIPアドレスは”103.48.50.207”らしいのでこちらも
割り当て地を調査してみました。
いつもそのほとんどがアメリカ西海岸付近ですが、今回の結果は、インドの首都ニューデリー。
フィッシング詐欺メールも多様化してきたようですね。
 このリンク先URLに接続してみると、リダイレクトされてこちら始まるクソ長いURLの
別サイトに接続されます。
そのリンク先のURLがこちらです。
 面倒ですが、このURLのドメインも先ほどと同じ要領で調べてみました。
まずは、ノートンの「セーフウェブレポート」で危険度を。
やはり危険なサイトと周知されています。 続いてドメインの情報。
さっきのと同じでした(笑)
 このドメインを割当てているIPアドレスは”188.166.217.73”らしいのでこちらも
先ほどと同じように割り当て地を調査してみました。
ドメイン調査の時には”オランダ”と書かれていましたが実際はシンガポールです。
 連れまわされた上で開いたサイトは、見事に複写されたAppleの完全コピーサイト。
 こんなの出されたら誰だって信用しちゃいますが、立派な詐欺サイトです!
ああ、危険、危険…(・_・;)
まとめ 今回のメールも見る人が見れば一目で見破ることができる詐欺メールでしたね。
やはり注目点は、差出人のメールアドレスとリンク先のURL。
メールアドレスの判断は、ヘッダーソースの解析を行えばさらに制度が高まります。
ご参考になれば幸いです(^^♪ いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 