私のメインで利用しているメールアドレスはOCNさんから頂いた10年以上利用し続けてるメールアドレスです。・・・当然、インターネットに対する知識が無い頃から利用しているので、私設掲示板*1のメールアドレス欄に記載したりしてしまったので、SPAMメールがジャンジャンバリバリと届いてしまう酷い有様です。
たまーに変なメールが来ては晒したりしていますが、久し振りに露骨に怪しさ爆発な詐称メールが届いたので晒して、興味本位で分かる範囲で情報を漁ってみます。
届いた怪しいメール
今回到着した怪しいメールは以下の3通で、全て楽天関連のメールです。
1通目と3通目は楽天カード、2通目は楽天銀行を自称していますが、差出人欄に表示されるメールアドレスは全て「myinfo@rakuten.co.jp」となっております。
残念ながら楽天カードを所有していないので楽天カードの公式がどのようなメールアドレスを用いてメールを送付するか分かりませんが、少なくとも楽天銀行で重要な系統の通知はrakuten.co.jpドメインでは送信されないので怪しさ爆発です。*2
更に宛先(To:)に大量のメールアドレスが詰め込まれている点。こんな送り方したら情報漏えい事故で大騒ぎです。楽天グループにクレームのメールを送らなければなりません。
その他、2通目の楽天銀行を偽るメールは日本語がかなり怪しい上、明らかに途中で文章が途切れてます。もっと突っ込むなら平成11月と言う謎の日付表現、「楽天」なのに「道銀」、ツッコミどころ満載で草しか生えません。
逆を言うと、1通目と3通目は(怪しい部分はあるものの)なかなかクオリティが高い迷惑メールで騙されるユーザーが結構出てしまいそうで恐ろしいものです・・・。
各メールのソースを見てみる
怪しさ爆発のメールでリンクをクリックする訳にはいかないので、メールのソースから何か窺い知ることが出来ないか確認してみます。
1通目
送信元と思われるclient-ip欄に78.83.38.112、ヘッダー部に謎ドメイン(spectrumnet.bg)を発見することが出来ました。
また、リンク先はrakuten関連のドメインではなく、valleypi.comと呼ばれるドメインに導こうとしています。
2通目
送信元と思われるclient-ip欄に103.229.203.182、先ほどとは異なりドメイン名は掲載されていませんでした。
リンク先はsilva-systems.comとなっており、1通目と同じくrakuten関連では無いサーバに繋げようと偽装されています。
3通目
送信元と思われるclient-ip欄に151.237.139.132、ドメイン名は見受けられません。
リンク先はdigitaltraceforensics.comとなっており、同じくrakutenとは無関係のサーバが指定されています。
各IPアドレス・リンク先ドメイン名を調べてみる
IPアドレスやドメイン名が判明したので、何処が管轄しているか調べてみましょう。
とりあえずIP Location Finderという便利なサイトがあるので、利用させて頂きましょう。
www.iplocationfinder.com
1通目
送信元はブルガリア、Mtelと呼ばれるブルガリアの携帯電話事業者から送信されたようです。Mtelは日本で言うソフトバンク的な感じで固定回線も提供しているキャリアのようです。但し、翻訳を重ねて調べたのであってるかどうかは知りません・・・。
一方、リンク先はアメリカのホスティング会社のBluehostのようで、これと言ったことはなさそうですね・・・。
調べられた範囲での結論
- 国別に担当が別れており、ブルガリアは楽天カード、インドネシアは楽天銀行
- 雰囲気的に特定のISPのメールアドレスの特定サーバ毎*3にSPAMと言うか迷惑メールを送り付けてる模様
- 楽天グループをターゲットにしているのか、楽天カードは楽天銀行傘下と思われているのか分かりませんが金融系を狙ってる
- お粗末なメールから、元々は道銀(北海道銀行)向けのメールを流用している?
- いずれも楽天とは無関係のサーバへリンクが張られているのでフィッシング詐欺系統かも?
- 特に1通目は怪しいpdfファイルをダウンロードさせようとしているのでマルウェアかも?
楽天カードの詐称メールはなかなかクオリティが高くてパッと見では不審なメールとは思えないので、なかなか危険な世の中となってきました。皆々様もご注意下さい。
