差出人のメールアドレスに注目!
楽天カードを騙り、第三者不正利用をネタに詐欺サイトへ誘導しクレジットカード情報を
盗み取ろうとするフィッシング詐欺メールが届きました!
なんとなく怪しいフォントが使われた詐欺メールがこちらです。
では、メールのプロパティーから見ていきましょう。
件名は
「[spam] アカウントのパスワードを更新してください。」
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
差出人は
「楽天カード株式会社 <apikey@abletorakutenloginmail.buzz>」
何ともはや…
楽天グループがこのようなドメインのメールを使うのでしょうか?…(;^_^A
楽天カードからのメールは必ず以下のような差出人とメールアドレスで送られてきます。
「楽天カード株式会社 <info@mail.rakuten-card.co.jp>」
差出人は詐欺メールのご常連さん
では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。
| Return-Path: 「<apikey@abletorakutenloginmail.buzz>」
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
|
| Message-ID:「<C47EA020CF049ACD0BBC0E956C0CD079@rakuten.co.jp>」
”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
|
| Received:「from mail0.abletorakutenloginmail.buzz (unknown [31.13.213.6])」
”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
|
まず、メールアドレスのドメイン”abletorakutenloginmail.buzz”と”Received”にあった
IPアドレス”31.13.213.6”の相関性を確認しメールアドレスの信憑性を確認してみました。
この結果”abletorakutenloginmail.buzz”と”Received”にあったIPアドレス”31.13.213.6”の
相関性は合致しましたので、差出人は自身のメールアドレスを使いこのメールを送ってきた
事になります。
また、このドメインが「アメリカ,アリゾナ州,フェニックス」にある企業の持ち物で
あることが判明。
実はこの企業、詐欺メールのご常連さん。(笑)
相変わらず悪に手を染めていらっしゃるんですね。(汗)
因みにIPアドレス”31.13.213.6”の割り当て地を調べてみたところアメリカのアトランタにある
ジョージア州立大学付近の地図が表示されました。
どうやらご常連は、この付近にあるメールサーバーをりようしたようです。
日本語って難しいよね?
続きまして本文です。
詳しいことは図中に書き込んでおきました。
第一のポイントは、宛名。
楽天グループからのメールで、必要な際は必ず宛名はユーザーの氏名が書かれているはずです。
これは、アマゾンにも言えることなのでフィッシング詐欺メールを見分ける際に重要な
ポイントとなります。
説明文の以下のくだり。
弊社のモニタリングにより。普段と違う不審なログインが見つかり。
誰かがお客様のいつもお使いになった支払方法を変更しようとしていたそうです |
句読点が無茶苦茶。
やはり海外の方には日本語は難しいようですね…
信憑性を持たせるために箇条書きで書かれてる各項目。
この中にあるIPアドレスの割り当て地を先程と同じ要領で調べてみました。
ここには「埼玉県川越市」と書かれていましたが、実際は「東京都港区」付近。
この結果から、IPアドレスがでたらめだったことが分かりますよね。
ところで、最後のくだりにある”メ”はどんな意味があるのでしょうか?
すごく気になるんですけど…(;^_^A
さて、フィッシング詐欺メールの最大の特徴は、詐欺サイトへのリンクが必ず付けられて
いることです。
そのリンクは当然このメールにも付けられており、そのリンク先のURLがこちらです。
まず、そのリンク先の危険度について、トレンドマイクロの「セーフティーセンター」で
確認してみました。
すると…
業界では、既にこのサイトは危険性が高いと判断されているようです。
このURLで使われているドメインは”bewareofleaking.abletorakutenlogin.xyz”
ここで一つ覚えておきたいのは”.xyz”と言うドメインの事。
実はこのドメイン、格安で入手できることで知られており、サイバー犯罪の使い捨て用に
用いられることが多いのです。
”.xyz”がすべて悪いと言うのではありませんので悪しからず…
因みにこちらは、本日現在のお名前ドットコムさんでの”.xyz”の取得料金です。
1年目が25円とは驚きですよね!
さて、このドメインの持ち主ですが、やはりメールドメインの持ち主であったご常連さんと
同じ企業が持ち主でした。
このドメインを割当てているIPアドレスは”192.161.179.108”と表示されたので
このIPアドレスを元にその割り当て地を確認してみます。
すると表示されたのはロサンゼルス近郊。
この地に設置されたウェブサーバーで運営しているのは、当然ながら楽天の偽サイト。
今現在も稼働中なので要注意です!
まとめ
相変わらず懲りないご常連ですね。
詐欺サイトなぞ運営していないでその知識を他で使った方が良いと思うのですが…
今回のポイントは、差出人のメールアドレスと本文の宛名、そしてリンク先のドメイン。
しっかり押さえて被害を未然に防いでくださいね!
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |