スパムメール解析-【緊急】楽天カードから緊急のご連絡

もうかれこれ1年以上前からamazon、Apple、楽天をかたったスパムメールが大量に送信されてきます。
今回は「【緊急】楽天カードから緊急のご連絡」のメールを分析してみたいと思います。

【緊急】楽天カードから緊急のご連絡メール

楽天からのご挨拶です。お客様のアカウントの保護を重視しております。ログイン方法は少し尋常ではないので、アカウントが楽天の利用規約を満たしていることを確認するために、アカウント情報を更新および確認してください。
ここをクリック
必要な情報を確認および更新しないと、アカウントおよび販売活動が停止される可能性があることにご注意ください。画面の指示に従って変更または確認を行ってください。
ご理解いただきありがとうございます。
楽天カード株式会社
本メール内のお客様の漢字氏名が正しく表記されない場合がございます。ご了承ください。
弊社からのメールを希望されない会員様へも重要なお知らせとしてお送りしております。
本メールアドレスは送信専用となり、返信はお受けしておりません。
スパムメール内の文章

ひと昔前よりは、かなり日本語がマシになりましたが、まだまだよく読むとおかしな文章があります。

「ログイン方法は少し尋常ではないので」
尋常ではないようです。

「アカウントおよび販売活動が停止される可能性があることにご注意ください。」
販売活動とは？？？セラー宛のメールですか？

「本メール内のお客様の漢字氏名が正しく表記されない場合がございます。ご了承ください。」
楽天からのメールではそのような事は絶対に無いと思います。

送信元メールアドレス

表面上の送信元メールアドレスは「noreply@order.manifestconsciousness.com」です。送信元のメールアドレスは簡単に偽装できますが一応調べてみました。

order.manifestconsciousness.comのMXレコードはドメインが設定されていたので「order.manifestconsciousness.com」のIPアドレスを確認

% dig order.manifestconsciousness.com mx; <<>> DiG 9.10.6 <<>> order.manifestconsciousness.com mx;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17802;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096;; QUESTION SECTION:;order.manifestconsciousness.com. IN	MX;; ANSWER SECTION:order.manifestconsciousness.com. 4502 IN MX	10 order.manifestconsciousness.com.;; Query time: 919 msec;; SERVER: 172.20.10.1#53(172.20.10.1);; WHEN: Sat May 02 23:34:54 JST 2020;; MSG SIZE rcvd: 76

% dig order.manifestconsciousness.com mx

; <<>> DiG 9.10.6 <<>> order.manifestconsciousness.com mx

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17802

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:

;order.manifestconsciousness.com. IN MX

;; ANSWER SECTION:

order.manifestconsciousness.com. 4502 IN MX 10 order.manifestconsciousness.com.

;; Query time: 919 msec

;; SERVER: 172.20.10.1#53(172.20.10.1)

;; WHEN: Sat May 02 23:34:54 JST 2020

;; MSG SIZE rcvd: 76

% dig order.manifestconsciousness.com; <<>> DiG 9.10.6 <<>> order.manifestconsciousness.com;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59124;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096;; QUESTION SECTION:;order.manifestconsciousness.com. IN	A;; ANSWER SECTION:order.manifestconsciousness.com. 4502 IN A	188.120.229.159;; Query time: 91 msec;; SERVER: 172.20.10.1#53(172.20.10.1);; WHEN: Sat May 02 23:35:05 JST 2020;; MSG SIZE rcvd: 76

% dig order.manifestconsciousness.com

; <<>> DiG 9.10.6 <<>> order.manifestconsciousness.com

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59124

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:

;order.manifestconsciousness.com. IN A

;; ANSWER SECTION:

order.manifestconsciousness.com. 4502 IN A 188.120.229.159

;; Query time: 91 msec

;; SERVER: 172.20.10.1#53(172.20.10.1)

;; WHEN: Sat May 02 23:35:05 JST 2020

;; MSG SIZE rcvd: 76

IPアドレスは「188.120.229.159」だと分かりました。
ではIPアドレスを調査してみます。

IPアドレスからサーバーを確認

[Querying whois.ripe.net][whois.ripe.net]% This is the RIPE Database query service.% The objects are in RPSL format.%% The RIPE Database is subject to Terms and Conditions.% See http://www.ripe.net/db/support/db-terms-conditions.pdf% Note: this output has been filtered.% To receive output for a database update, use the "-B" flag.% Information related to '188.120.224.0 - 188.120.231.255'% Abuse contact for '188.120.224.0 - 188.120.231.255' is 'abuse@abusehost.ru'inetnum: 188.120.224.0 - 188.120.231.255netname: THEFIRST-NETorg: ORG-FVDS1-RIPEdescr: TheFirst-RU clients (WebDC Msk)country: RUadmin-c: FRST3-RIPEtech-c: FRST3-RIPEstatus: ASSIGNED PAmnt-by: THEFIRST-MNTmnt-irt: IRT-THEFIRSTcreated: 2009-10-30T07:58:02Zlast-modified: 2016-04-20T04:21:52Zsource: RIPEorganisation: ORG-FVDS1-RIPEorg-name: CJSC THE FIRSTorg-type: OTHERaddress: CJSC The First, Raduzhny 34aaddress: PoBox64, Irkutsk, 664017address: Russian Federationabuse-c: AR34130-RIPEmnt-ref: THEFIRST-MNTmnt-by: THEFIRST-MNTcreated: 2012-02-14T06:27:22Zlast-modified: 2017-10-30T14:41:44Zsource: RIPE # Filteredrole: The First JSC Network Operationsaddress: The First JSCaddress: Office 2, 34a, Raduzhny m-raddress: 664017address: Irkutskaddress: Russian Federationphone: +7 (495) 663 73 72fax-no: +7 (3952) 52 57 89remarks: trouble: -------------------------------------------------------remarks: trouble: Points of contact for The First CJSC Network Operationsremarks: trouble: -------------------------------------------------------remarks: trouble: Routing and peering issues: noc@firstvds.ruremarks: trouble: SPAM issues: abuse@abusehost.ruremarks: trouble: Mail issues: abuse@abusehost.ruremarks: trouble: General information: noc@firstvds.ruremarks: trouble: -------------------------------------------------------admin-c: AA26905-RIPEtech-c: ST11762-RIPEnic-hdl: FRST3-RIPEmnt-by: THEFIRST-MNTcreated: 2014-09-12T07:34:10Zlast-modified: 2018-08-24T09:07:31Zsource: RIPE # Filteredabuse-mailbox: abuse@abusehost.ru% Information related to '188.120.224.0/20AS29182'route: 188.120.224.0/20descr: TheFirst-RUorigin: AS29182mnt-by: THEFIRST-MNTcreated: 2009-09-14T06:23:39Zlast-modified: 2014-06-10T02:23:40Zsource: RIPE% This query was served by the RIPE Database Query Service version 1.97 (ANGUS)

[Querying whois.ripe.net]

[whois.ripe.net]

% This is the RIPE Database query service.

% The objects are in RPSL format.

% The RIPE Database is subject to Terms and Conditions.

% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.

% To receive output for a database update, use the "-B" flag.

% Information related to '188.120.224.0 - 188.120.231.255'

% Abuse contact for '188.120.224.0 - 188.120.231.255' is 'abuse@abusehost.ru'

inetnum: 188.120.224.0 - 188.120.231.255

netname: THEFIRST-NET

org: ORG-FVDS1-RIPE

descr: TheFirst-RU clients (WebDC Msk)

country: RU

admin-c: FRST3-RIPE

tech-c: FRST3-RIPE

status: ASSIGNED PA

mnt-by: THEFIRST-MNT

mnt-irt: IRT-THEFIRST

created: 2009-10-30T07:58:02Z

last-modified: 2016-04-20T04:21:52Z

source: RIPE

organisation: ORG-FVDS1-RIPE

org-name: CJSC THE FIRST

org-type: OTHER

address: CJSC The First, Raduzhny 34a

address: PoBox64, Irkutsk, 664017

address: Russian Federation

abuse-c: AR34130-RIPE

mnt-ref: THEFIRST-MNT

mnt-by: THEFIRST-MNT

created: 2012-02-14T06:27:22Z

last-modified: 2017-10-30T14:41:44Z

source: RIPE # Filtered

role: The First JSC Network Operations

address: The First JSC

address: Office 2, 34a, Raduzhny m-r

address: 664017

address: Irkutsk

address: Russian Federation

phone: +7 (495) 663 73 72

fax-no: +7 (3952) 52 57 89

remarks: trouble: -------------------------------------------------------

remarks: trouble: Points of contact for The First CJSC Network Operations

remarks: trouble: -------------------------------------------------------

remarks: trouble: Routing and peering issues: noc@firstvds.ru

remarks: trouble: SPAM issues: abuse@abusehost.ru

remarks: trouble: Mail issues: abuse@abusehost.ru

remarks: trouble: General information: noc@firstvds.ru

remarks: trouble: -------------------------------------------------------

admin-c: AA26905-RIPE

tech-c: ST11762-RIPE

nic-hdl: FRST3-RIPE

mnt-by: THEFIRST-MNT

created: 2014-09-12T07:34:10Z

last-modified: 2018-08-24T09:07:31Z

source: RIPE # Filtered

abuse-mailbox: abuse@abusehost.ru

% Information related to '188.120.224.0/20AS29182'

route: 188.120.224.0/20

descr: TheFirst-RU

origin: AS29182

mnt-by: THEFIRST-MNT

created: 2009-09-14T06:23:39Z

last-modified: 2014-06-10T02:23:40Z

source: RIPE

% This query was served by the RIPE Database Query Service version 1.97 (ANGUS)

ホスト名は、「seopk693.fvds.ru」ロシアのIPアドレスでした。
この時点で楽天からでなはい事がわかりますが、さらに調べてみます。

ヘッダー情報

メールのヘッダー情報から送信元のIPアドレスを確認する事ができます。

楽天カード株式会社 <noreply@order.manifestconsciousness.com>【緊急】楽天カードから緊急のご連絡宛先:***** <****@********.com>Content-Type:text/html; charset="UTF-8"Mime-Version:1.0Content-Disposition:inlineX-Spam-Level:3X-Spam-Status:SUSPICIONReturn-Path:<noreply@order.manifestconsciousness.com>X-Spam-Id:07E405027F0000016BX-Spam-Method:R1User-Agent:Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Thunderbird/45.2.0X-Original-To:****@********.comContent-Transfer-Encoding:Quoted-printableReceived:from localhost (localhost [127.0.0.1]) by 000-000-000-000.hosting.jp (Postfix) with ESMTP id D98D2142291 for <****@********.com>; Sat, 2 May 2020 17:08:26 +0900 (JST)Received:from viettel.vn (unknown [27.72.98.142]) by 000-000-000-000.hosting.jp (Postfix) with ESMTP id 7AD0714228B for <****@********.com>; Sat, 2 May 2020 17:08:25 +0900 (JST)Delivered-To:****@********.com<09e0555d-c40c-a9ce-fe37-1000e2303a53@order.manifestconsciousness.com>

楽天カード株式会社 <noreply@order.manifestconsciousness.com>

【緊急】楽天カードから緊急のご連絡

宛先:***** <****@********.com>

Content-Type:text/html; charset="UTF-8"

Mime-Version:1.0

Content-Disposition:inline

X-Spam-Level:3

X-Spam-Status:SUSPICION

Return-Path:<noreply@order.manifestconsciousness.com>

X-Spam-Id:07E405027F0000016B

X-Spam-Method:R1

User-Agent:Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Thunderbird/45.2.0

X-Original-To:****@********.com

Content-Transfer-Encoding:Quoted-printable

Received:from localhost (localhost [127.0.0.1]) by 000-000-000-000.hosting.jp (Postfix) with ESMTP id D98D2142291 for <****@********.com>; Sat, 2 May 2020 17:08:26 +0900 (JST)

Received:from viettel.vn (unknown [27.72.98.142]) by 000-000-000-000.hosting.jp (Postfix) with ESMTP id 7AD0714228B for <****@********.com>; Sat, 2 May 2020 17:08:25 +0900 (JST)

Delivered-To:****@********.com

<09e0555d-c40c-a9ce-fe37-1000e2303a53@order.manifestconsciousness.com>

送信元のIPアドレスは「27.72.98.142」でホスト名は「dynamic-ip-adsl.viettel.vn」ベトナムのIPアドレスでした。
これは踏み台にされた可能性もあります。

メール内のリンク

メールの本文内には複数のリンクが設置されています。
一部のリンクは本物のサイト（楽天カード）へアクセスできますが、本文中央の「ここをクリック」のリンク先が「account-data-security-setting-user-support-rakuten.com」と偽のURLが埋め込まれています。

リンク先のドメインやサーバー情報

こちらのドメインのIPアドレスも調べてみました。
IPアドレスは「178.21.10.225」ホスト名は「178-21-10-225.ovz.vps.regruhosting.ru」こちらもロシアでした。

万全の体制を整えリンクにアクセスしましたが、応答なしとなりました。
本来は下記のように楽天カードのログイン画面とよく似たフィッシング用のページが用意されていると思います。

まとめ

他のamazonやAppleもアカウント情報を盗むためのフィッシングサイトですので絶対にアクセスしないようにしてください。万が一アクセスしてしまった場合、IDやPWを入力してしまった場合は、早急にログインパスワードを変更しましょう。

また、不正なサイトにアクセスした際、セキュリティーソフトが入っていればアクセスを遮断してくれることもあります。

以前、ホスティング会社の方と話す機会がありスパムについて話題が上がりました。世界中で送信されているメールの8〜9割はスパムメールだそうです。
本当に迷惑です。

【緊急】楽天カードから緊急のご連絡メール

送信元メールアドレス

IPアドレスからサーバーを確認

ヘッダー情報

メール内のリンク

リンク先のドメインやサーバー情報

まとめ

コメントする