今日の迷惑メール2(楽天偽装)
最近、高頻度で迷惑メールフィルタをすり抜けて届く迷惑メールが多いため、こちらで紹介していきます。
迷惑メールフィルタ設定の参考にでもなればと思います。
今日届いたのがこちらのメール。
迷惑メールにしては珍しく画像ビーコンは付いていませんでした。
件名: [楽天]ログインしましたか?
ご利用中の楽天会員アカウントへのログインが確認されました。
◆ログイン情報
・ログイン日時 :2020/7/22
・IPアドレス:
121.212.12.1
上記のログイン記録にお心あたりがない場合は、お客様以外の第三者によってログインされた可能性がございます。念のため、以下の方法でパスワードの再設定を行うことをおすすめいたします。
だそうです。
楽天からのメールを偽装していますね。
ただこのメールは件名が妙に馴れ馴れしいため、すぐに怪しいと気付きやすくなっています。
まずはヘッダを見てみましょう。
X-DTI-Virus-Check: checked
X-DTI-Recipient: <xxxx@xxxx.dti.ne.jp>
Return-Path: <myyinfo@rakuten.co.jp>
Received: from mx02.cm.dti.ne.jp (mx02-fbp.cm.dti.ne.jp [10.236.71.126]) by store48-fbp.cm.dti.ne.jp (3.10pn) with ESMTP id 06M2FwMs003384 for <xxxx@xxxx.dti.ne.jp>; Wed, 22 Jul 2020 11:15:58 +0900 (JST)
Received: from imx24.cm2.dti.ne.jp (imx24.silk.dream.jp [59.157.133.75]) by mx02.cm.dti.ne.jp (3.11g) with ESMTP id 06M2FwDE018531 for <xxxx@xxxx.dti.ne.jp>; Wed, 22 Jul 2020 11:15:58 +0900 (JST)
Received: from scpa311.cm2.dti.ne.jp (scpa311.cm2.dti.ne.jp [10.32.11.58]) by imx24.cm2.dti.ne.jp (3.11g) with ESMTP id 06M2Fw5Q002539 for <xxxx@xxxx.dti.ne.jp>; Wed, 22 Jul 2020 11:15:58 +0900 (JST)
Received: from pps.filterd (scpa311.cm2.dti.ne.jp [127.0.0.1])
by scpa311.cm2.dti.ne.jp (8.16.0.42/8.16.0.42) with SMTP id 06M2FWNd005283
for <xxxx@xxxx.dti.ne.jp>; Wed, 22 Jul 2020 11:15:58 +0900
Authentication-Results: cm2.dti.ne.jp;
spf=softfail smtp.mailfrom=myyinfo@rakuten.co.jp;
dmarc=none header.from=rakuten.co.jp
Received: from alias7s223721.cloud.flynet.pro (alias7s223721.cloud.flynet.pro [91.221.36.172])
by scpa311.cm2.dti.ne.jp with ESMTP id 32bs38pcd2-1
for <xxxx@xxxx.dti.ne.jp>; Wed, 22 Jul 2020 11:15:57 +0900
Date: Wed, 22 Jul 2020 10:15:34 +0800
From: "Rakuten.co.jp" <myyinfo@rakuten.co.jp>
To: <xxxx@xxxx.dti.ne.jp>
Subject: =?iso-2022-jp?B?WxskQjNaRTcbKEJdGyRCJW0lMCUkJXMkNyReJDckPyQrISkbKEJoYXR0YUA=?=
=?iso-2022-jp?B?bGFyZXMuZHRpLm5lLmpw?=
Message-ID: <20200722101541400052@rakuten.co.jp>
X-Priority: 1 (Highest)
X-mailer: Foxmail 6, 13, 102, 15 [cn]
Mime-Version: 1.0
Content-Type: multipart/alternative;
boundary="=====003_Dragon188362613823_====="届いたメールアドレスはxxxxでマスクしてます。
迷惑メールのブロック方法の一つとして、Recievedヘッダに怪しいホストがあればブロックする設定がありますが、おそらく送信元と思われるRecievedヘッダは、"alias7s223721.cloud.flynet.pro (alias7s223721.cloud.flynet.pro [91.221.36.172])" です。
この送信元ドメイン"flynet.pro"をwhoisで調べてみると、ロシアの「Flynet」というサーバー会社のようです。
Domain Name: FLYNET.PRO
Registry Domain ID: D107300000000088439-LRMS
Registrar WHOIS Server: https://www.nic.ru/whois
Registrar URL: http://www.nic.ru
Updated Date: 2019-09-12T21:15:20Z
Creation Date: 2010-10-13T13:32:56Z
Registry Expiry Date: 2020-10-13T00:00:00Z
Registrar Registration Expiration Date:
Registrar: Regional Network Information Center, JSC dba RU-CENTER
Registrar IANA ID: 463
Registrar Abuse Contact Email: email@nic.ru
Registrar Abuse Contact Phone: +7.4959944601
Reseller:
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registrant Organization: Limited Company "Flynet"
Registrant State/Province: Tomskaya
Registrant Country: RU
Name Server: NS1.FLYNET.PRO
Name Server: NS2.FLYNET.PRO
Name Server: NS3.FLYNET.PRO
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form is https://www.icann.org/wicf/
>>> Last update of WHOIS database: 2020-07-22T07:26:26Z <<<IPアドレス"91.221.36.172"もwhoisで調べましたが「Flynet」で一致しました。
% Information related to '91.221.36.0 - 91.221.37.255'
% Abuse contact for '91.221.36.0 - 91.221.37.255' is 'abuse@flynet.pro'
inetnum: 91.221.36.0 - 91.221.37.255
netname: FLYNET-NET
country: RU
org: ORG-FLYN1-RIPE
admin-c: FN2211-RIPE
tech-c: FN2211-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-by: FLYNET-MNT
mnt-routes: FLYNET-MNT
mnt-domains: FLYNET-MNT
created: 2010-10-20T12:42:48Z
last-modified: 2018-10-11T09:30:41Z
source: RIPE # Filtered
sponsoring-org: ORG-IL432-RIPE
organisation: ORG-FLYN1-RIPE
org-name: Flynet Ltd
org-type: OTHER
address: 634029, Russia, Tomsk, Akademicheskiy street 8/8, office 614
admin-c: FN2211-RIPE
abuse-c: AR21281-RIPE
mnt-ref: FLYNET-MNT
mnt-by: FLYNET-MNT
created: 2010-10-19T11:16:07Z
last-modified: 2020-06-21T09:38:05Z
source: RIPE # Filtered
phone: +7 3822 71-21-96
language: RU
role: FLYNET NOC
address: 634029, Russia, Tomsk, Akademicheskiy street 8/8, office 614
nic-hdl: FN2211-RIPE
mnt-by: FLYNET-MNT
created: 2013-04-15T13:04:29Z
last-modified: 2019-11-27T10:21:55Z
source: RIPE # Filtered
phone: +7 3822 712196
abuse-mailbox: abuse@flynet.pro
% Information related to '91.221.36.0/24AS51724'
route: 91.221.36.0/24
origin: AS51724
mnt-by: FLYNET-MNT
created: 2020-03-18T02:43:46Z
last-modified: 2020-03-18T02:43:46Z
source: RIPE
% This query was served by the RIPE Database Query Service version 1.97.2 (BLAARKOP)これで楽天から送られたメールでないことがわかり、偽装メールと認定できました。
それでは、メールのリンクを誤って踏んでしまった場合はどこに飛ぶのでしょう?
実はこのメール、HTMLメールになっていて、メール本文中のURL「https://member.id.rakuten.co.jp/rms/nid/upm?k=DfWiuvQ」は別のURLへのリンクになっています。
http://suo.im/xxxxxxxxの部分はランダムな文字列でしたが省略しました。
.imって初めて見ましたがイギリス領のマン島に割り当てられているそうです。
一応このドメイン「suo.im」についてもwhois調べてみました。
Domain Name: suo.im
Domain Managers
Name: Redacted
Address
Redacted
Domain Owners / Registrant
Name: Redacted
Address
Redacted
Administrative Contact
Name: Redacted
Address
Redacted
Billing Contact
Name: Redacted
Address
Redacted
Technical Contact
Name: Redacted
Address
Redacted
Domain Details
Expiry Date: 20/06/2022 00:59:52
Name Server:ns3.dnsv3.com.
Name Server:ns4.dnsv3.com.なんと、ネームサーバー以外の情報がありません…
こんな匿名ドメインが許されていることに衝撃です。
このメールをフィルタするには、Recievedをチェックして"flynet.pro"があればブロックするような設定でも問題ないと思われます。
日本人や日本の会社でこのサーバー会社を使っている人はまず居ませんし、海外の取引先企業であっても使っている可能性はほぼ無いでしょう。
何しろロシアの業者ですから…
ということで皆さん、迷惑メールのフィッシングに気を付けましょう。
この記事が気に入ったらサポートをしてみませんか?