「こんにちは」から始まるこの不気味なメール日に何度も送られてくるメルカリに成りすましたフィッシング詐欺メールですが、いつもは 赤いリンクボタンが配されてものばかりなのに、今回はボタンじゃなくてテキストリンクに なっています。 私、メルカリユーザーじゃないのですぐに偽物だと分かりました。 では、「こんにちは」から始まるこの不気味なメールもプロパティーから見ていきましょう。 件名は 「[spam] 【メルカリ】一時的な利用停止、ログインして確認してください」 このメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「noreply@mercari.jp」 名前は無くメールアドレスだけが書かれています。 ”mercari.jp”は調べてみると確かにメルカリさんの持ち物ですが、これは偽装されています。
またさくらインターネットユーザーの仕業では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<noreply@mercari.jp>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20220310115114421876@mercari.jp>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from noreply0.mercari.jp (ik1-217-78956.vs.sakura.ne.jp [153.120.43.210])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ”sakura.ne.jp”と書かれているのでこの差出人は、例のご常連さんで さくらインターネットユーザーです。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
日本語がお子様級いつもなら”Received”にあったIPアドレス”153.120.43.210”でメールサーバーの情報とか 調べるのですが、この方はさくらインターネットユーザーなので調べてもさくらインターネット の本社の大阪市北区辺りが抽出されるだけだからやっても無駄。 なのでこのまま本文に突入します。(笑) こんにちは あなたのMercariのアカウント【重要】事務局からのお知らせ いつもメルカリをご利用いただきありがとうございます。 メルカリのサービスはまもなく停止します。 下記の接続から停止原因を確認してください 。 |
なんか日本語がおかしいですよね。 さくらインターネットユーザーの時はいつも日本語がお子様なんだよね。(笑) こんな幼稚な日本語を使って押させようとしているのが「ご利用確認はこちら」と書かれた 部分に付けられている詐欺サイトへのリンク。 そのリンク先のURLはこちら。 このサイトの危険性をGoogleの「セーフブラウジング」で確認してみました。 するとこのように既に危険なサイトとして認識されていました。 ここで使われているドメインは、サブドメインを含め”www2.jp.mercari.caipiaochaojiyingjia.com” このドメインを使ってドメインとサイトの情報を取得してみます。 このドメインの持ち主は中国安徽省(あんきしょう)の方。 このドメインの管理は「eName Technology」という中国の会社に管理が委託されています。 割当てているIPアドレスは”204.44.76.156”なので、このIPアドレスを元にその割り当て地を 確認してみます。 表示されたのはロサンゼルス付近の地図。 これまでは、さくらインターネットユーザーと隣国の首都がワンセットでしたが今回は 違っていましたね。(;^_^A で、このURLで接続されるサイトは当然メルカリの偽サイト。 絶対にログインしてはいけません。
まとめ本文をよく見ると、サービス停止理由がどこにも書かれていないんですね。(汗) そして末尾の「※このメールを停止したい場合は配信停止のページからお願いいたします」 って配信止められるの? 詐欺メールは止まらないでしょ??(笑) いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |