スパムメール解析-【緊急】楽天カードから緊急のご連絡
もうかれこれ1年以上前からamazon、Apple、楽天をかたったスパムメールが大量に送信されてきます。
今回は「【緊急】楽天カードから緊急のご連絡」のメールを分析してみたいと思います。
【緊急】楽天カードから緊急のご連絡メール
楽天からのご挨拶です。お客様のアカウントの保護を重視しております。ログイン方法は少し尋常ではないので、アカウントが楽天の利用規約を満たしていることを確認するために、アカウント情報を更新および確認してください。
ここをクリック
必要な情報を確認および更新しないと、アカウントおよび販売活動が停止される可能性があることにご注意ください。画面の指示に従って変更または確認を行ってください。
ご理解いただきありがとうございます。
楽天カード株式会社本メール内のお客様の漢字氏名が正しく表記されない場合がございます。ご了承ください。
スパムメール内の文章
弊社からのメールを希望されない会員様へも重要なお知らせとしてお送りしております。
本メールアドレスは送信専用となり、返信はお受けしておりません。
ひと昔前よりは、かなり日本語がマシになりましたが、まだまだよく読むとおかしな文章があります。
「ログイン方法は少し尋常ではないので」
尋常ではないようです。
「アカウントおよび販売活動が停止される可能性があることにご注意ください。」
販売活動とは???セラー宛のメールですか?
「本メール内のお客様の漢字氏名が正しく表記されない場合がございます。ご了承ください。」
楽天からのメールではそのような事は絶対に無いと思います。
送信元メールアドレス
表面上の送信元メールアドレスは「noreply@order.manifestconsciousness.com」です。送信元のメールアドレスは簡単に偽装できますが一応調べてみました。
order.manifestconsciousness.comのMXレコードはドメインが設定されていたので「order.manifestconsciousness.com」のIPアドレスを確認
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 | % dig order.manifestconsciousness.com mx ; <<>> DiG 9.10.6 <<>> order.manifestconsciousness.com mx ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17802 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;order.manifestconsciousness.com. IN MX ;; ANSWER SECTION: order.manifestconsciousness.com. 4502 IN MX 10 order.manifestconsciousness.com. ;; Query time: 919 msec ;; SERVER: 172.20.10.1#53(172.20.10.1) ;; WHEN: Sat May 02 23:34:54 JST 2020 ;; MSG SIZE rcvd: 76 |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | % dig order.manifestconsciousness.com ; <<>> DiG 9.10.6 <<>> order.manifestconsciousness.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59124 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;order.manifestconsciousness.com. IN A ;; ANSWER SECTION: order.manifestconsciousness.com. 4502 IN A 188.120.229.159 ;; Query time: 91 msec ;; SERVER: 172.20.10.1#53(172.20.10.1) ;; WHEN: Sat May 02 23:35:05 JST 2020 ;; MSG SIZE rcvd: 76 |
IPアドレスは「188.120.229.159」だと分かりました。
ではIPアドレスを調査してみます。
IPアドレスからサーバーを確認
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 | [Querying whois.ripe.net] [whois.ripe.net] % This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: this output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '188.120.224.0 - 188.120.231.255' % Abuse contact for '188.120.224.0 - 188.120.231.255' is 'abuse@abusehost.ru' inetnum: 188.120.224.0 - 188.120.231.255 netname: THEFIRST-NET org: ORG-FVDS1-RIPE descr: TheFirst-RU clients (WebDC Msk) country: RU admin-c: FRST3-RIPE tech-c: FRST3-RIPE status: ASSIGNED PA mnt-by: THEFIRST-MNT mnt-irt: IRT-THEFIRST created: 2009-10-30T07:58:02Z last-modified: 2016-04-20T04:21:52Z source: RIPE organisation: ORG-FVDS1-RIPE org-name: CJSC THE FIRST org-type: OTHER address: CJSC The First, Raduzhny 34a address: PoBox64, Irkutsk, 664017 address: Russian Federation abuse-c: AR34130-RIPE mnt-ref: THEFIRST-MNT mnt-by: THEFIRST-MNT created: 2012-02-14T06:27:22Z last-modified: 2017-10-30T14:41:44Z source: RIPE # Filtered role: The First JSC Network Operations address: The First JSC address: Office 2, 34a, Raduzhny m-r address: 664017 address: Irkutsk address: Russian Federation phone: +7 (495) 663 73 72 fax-no: +7 (3952) 52 57 89 remarks: trouble: ------------------------------------------------------- remarks: trouble: Points of contact for The First CJSC Network Operations remarks: trouble: ------------------------------------------------------- remarks: trouble: Routing and peering issues: noc@firstvds.ru remarks: trouble: SPAM issues: abuse@abusehost.ru remarks: trouble: Mail issues: abuse@abusehost.ru remarks: trouble: General information: noc@firstvds.ru remarks: trouble: ------------------------------------------------------- admin-c: AA26905-RIPE tech-c: ST11762-RIPE nic-hdl: FRST3-RIPE mnt-by: THEFIRST-MNT created: 2014-09-12T07:34:10Z last-modified: 2018-08-24T09:07:31Z source: RIPE # Filtered abuse-mailbox: abuse@abusehost.ru % Information related to '188.120.224.0/20AS29182' route: 188.120.224.0/20 descr: TheFirst-RU origin: AS29182 mnt-by: THEFIRST-MNT created: 2009-09-14T06:23:39Z last-modified: 2014-06-10T02:23:40Z source: RIPE % This query was served by the RIPE Database Query Service version 1.97 (ANGUS) |
ホスト名は、「seopk693.fvds.ru」ロシアのIPアドレスでした。
この時点で楽天からでなはい事がわかりますが、さらに調べてみます。
ヘッダー情報
メールのヘッダー情報から送信元のIPアドレスを確認する事ができます。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 | 楽天カード株式会社 <noreply@order.manifestconsciousness.com> 【緊急】楽天カードから緊急のご連絡 宛先:***** <****@********.com> Content-Type:text/html; charset="UTF-8" Mime-Version:1.0 Content-Disposition:inline X-Spam-Level:3 X-Spam-Status:SUSPICION Return-Path:<noreply@order.manifestconsciousness.com> X-Spam-Id:07E405027F0000016B X-Spam-Method:R1 User-Agent:Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Thunderbird/45.2.0 X-Original-To:****@********.com Content-Transfer-Encoding:Quoted-printable Received:from localhost (localhost [127.0.0.1]) by 000-000-000-000.hosting.jp (Postfix) with ESMTP id D98D2142291 for <****@********.com>; Sat, 2 May 2020 17:08:26 +0900 (JST) Received:from viettel.vn (unknown [27.72.98.142]) by 000-000-000-000.hosting.jp (Postfix) with ESMTP id 7AD0714228B for <****@********.com>; Sat, 2 May 2020 17:08:25 +0900 (JST) Delivered-To:****@********.com <09e0555d-c40c-a9ce-fe37-1000e2303a53@order.manifestconsciousness.com> |
送信元のIPアドレスは「27.72.98.142」でホスト名は「dynamic-ip-adsl.viettel.vn」ベトナムのIPアドレスでした。
これは踏み台にされた可能性もあります。
メール内のリンク
メールの本文内には複数のリンクが設置されています。
一部のリンクは本物のサイト(楽天カード)へアクセスできますが、本文中央の「ここをクリック」のリンク先が「account-data-security-setting-user-support-rakuten.com」と偽のURLが埋め込まれています。
リンク先のドメインやサーバー情報
こちらのドメインのIPアドレスも調べてみました。
IPアドレスは「178.21.10.225」ホスト名は「178-21-10-225.ovz.vps.regruhosting.ru」こちらもロシアでした。
万全の体制を整えリンクにアクセスしましたが、応答なしとなりました。
本来は下記のように楽天カードのログイン画面とよく似たフィッシング用のページが用意されていると思います。
まとめ
他のamazonやAppleもアカウント情報を盗むためのフィッシングサイトですので絶対にアクセスしないようにしてください。万が一アクセスしてしまった場合、IDやPWを入力してしまった場合は、早急にログインパスワードを変更しましょう。
また、不正なサイトにアクセスした際、セキュリティーソフトが入っていればアクセスを遮断してくれることもあります。
以前、ホスティング会社の方と話す機会がありスパムについて話題が上がりました。世界中で送信されているメールの8〜9割はスパムメールだそうです。
本当に迷惑です。
S.E->お勧め記事;
- レンタルサーバー-さくらレンタルサーバーを契約〜WordPress設定を試してみた
- FTPクライアントから公開ディレクトリが見えない 原因究明〜対処
- WordPress でブログを始める〜レンタルサーバー、ドメイン取得〜簡単に設定する方法
- SSL Let’s Encryptの証明書を利用している場合Android7.1以前の環境でサイトが閲覧不可に
- ブラウザで利用中のSSL-ルート証明書-の確認方法
- レンタルサーバー ロリポップを契約〜WordPress設定「ハイスピードプラン」を試してみた。
- 属性型JPドメイン・汎用型JPドメインとは?違いは?
- SMTPサーバーがブロックリスト(ブラックリスト)に登録された-SPFBL編
- SPAMHAUSのブロックリストにサーバーのIPアドレスが登録される場合の対処法