Re:シルの日々の戯言。

折れた心が少しだけくっついたから何かを綴ってみるテスト。

楽天を偽る怪しさ爆発のメールが3通届いたので晒して分かる範囲で調べてみる

私のメインで利用しているメールアドレスはOCNさんから頂いた10年以上利用し続けてるメールアドレスです。・・・当然、インターネットに対する知識が無い頃から利用しているので、私設掲示板*1のメールアドレス欄に記載したりしてしまったので、SPAMメールがジャンジャンバリバリと届いてしまう酷い有様です。
たまーに変なメールが来ては晒したりしていますが、久し振りに露骨に怪しさ爆発な詐称メールが届いたので晒して、興味本位で分かる範囲で情報を漁ってみます。

届いた怪しいメール

今回到着した怪しいメールは以下の3通で、全て楽天関連のメールです。
f:id:sylvester:20171128195239j:plain
f:id:sylvester:20171128195343j:plain
f:id:sylvester:20171128195403j:plain

1通目と3通目は楽天カード、2通目は楽天銀行を自称していますが、差出人欄に表示されるメールアドレスは全て「myinfo@rakuten.co.jp」となっております。
残念ながら楽天カードを所有していないので楽天カードの公式がどのようなメールアドレスを用いてメールを送付するか分かりませんが、少なくとも楽天銀行で重要な系統の通知はrakuten.co.jpドメインでは送信されないので怪しさ爆発です。*2

更に宛先(To:)に大量のメールアドレスが詰め込まれている点。こんな送り方したら情報漏えい事故で大騒ぎです。楽天グループにクレームのメールを送らなければなりません。

その他、2通目の楽天銀行を偽るメールは日本語がかなり怪しい上、明らかに途中で文章が途切れてます。もっと突っ込むなら平成11月と言う謎の日付表現、「楽天」なのに「道銀」、ツッコミどころ満載で草しか生えません。
逆を言うと、1通目と3通目は(怪しい部分はあるものの)なかなかクオリティが高い迷惑メールで騙されるユーザーが結構出てしまいそうで恐ろしいものです・・・。

各メールのソースを見てみる

怪しさ爆発のメールでリンクをクリックする訳にはいかないので、メールのソースから何か窺い知ることが出来ないか確認してみます。

1通目

f:id:sylvester:20171128201542j:plain
f:id:sylvester:20171128201615j:plain
送信元と思われるclient-ip欄に78.83.38.112、ヘッダー部に謎ドメイン(spectrumnet.bg)を発見することが出来ました。
また、リンク先はrakuten関連のドメインではなく、valleypi.comと呼ばれるドメインに導こうとしています。

2通目

f:id:sylvester:20171128202245j:plain
f:id:sylvester:20171128202259j:plain
送信元と思われるclient-ip欄に103.229.203.182、先ほどとは異なりドメイン名は掲載されていませんでした。
リンク先はsilva-systems.comとなっており、1通目と同じくrakuten関連では無いサーバに繋げようと偽装されています。

3通目

f:id:sylvester:20171128202504j:plain
f:id:sylvester:20171128202538j:plain
送信元と思われるclient-ip欄に151.237.139.132、ドメイン名は見受けられません。
リンク先はdigitaltraceforensics.comとなっており、同じくrakutenとは無関係のサーバが指定されています。

IPアドレス・リンク先ドメイン名を調べてみる

IPアドレスドメイン名が判明したので、何処が管轄しているか調べてみましょう。
とりあえずIP Location Finderという便利なサイトがあるので、利用させて頂きましょう。
www.iplocationfinder.com

1通目

f:id:sylvester:20171128203129j:plain
f:id:sylvester:20171128203151j:plain
送信元はブルガリア、Mtelと呼ばれるブルガリアの携帯電話事業者から送信されたようです。Mtelは日本で言うソフトバンク的な感じで固定回線も提供しているキャリアのようです。但し、翻訳を重ねて調べたのであってるかどうかは知りません・・・。
一方、リンク先はアメリカのホスティング会社のBluehostのようで、これと言ったことはなさそうですね・・・。

2通目

f:id:sylvester:20171128203738j:plain
f:id:sylvester:20171128203753j:plain
なかなか面白い事が判明しました。送信元はジャカルタにあるイスラム系の大学のようです。どれほど素晴らしい大学か分かりませんが、生徒か教員かしりませんが情報セキュリティ的にはザルと言うか、SPAMメール送信元になるレベルなので察してしまいます。
一方のリンク先は1通目と同じくアメリカのホスティング会社、Endurance International Groupの関連会社のような情報がありますが、何とも・・・。

3通目

f:id:sylvester:20171128204816j:plain
f:id:sylvester:20171128204831j:plain
3通目は1通目と同じくブルガリアISPはよく分かりません。
リンク先も1通目と同じくアメリカのホスティング会社・・・と言うか、胴元は同じBluehostです。

調べられた範囲での結論

楽天カードの詐称メールはなかなかクオリティが高くてパッと見では不審なメールとは思えないので、なかなか危険な世の中となってきました。皆々様もご注意下さい。

*1:当時、様々なジャンルのファンサイトやイラストサイトには交流用にレンタルBBSが設置されており、そこで様々な交流をしたものです・・・。

*2:楽天銀行イーバンクネット銀行の買収前から利用していますが、買収されて以降改悪が進んで酷いこと・・・。

*3:OCNの場合だとhoge@xxx.ocn.ne.jpとなっているのですが、xxx.ocn.ne.jpの単位で迷惑メールを送っているようです。