楽天カードから以下のメールが飛んで来た
まずは、おそらくカードが不正利用された場合に飛んでくるメールをフィッシングメールとして
送信してきてるだけなのだが、見分けがつきにくいので、注意喚起として掲載しておきます。
最初に結論
これは、冒頭に書いた通りフィッシングメールです。
なので、下記リンクは消していますが、リンクを踏んだ先にある個人情報を入れるフォームへの
情報入力は絶対にしない下さい。
解説
そもそも、フィッシングメールと見分ける方法ですが、
ここに記載されている電話番号は、れっきとした楽天が運営している番号のようです。
紛らわしいのですが、番号だけで検索すると、その正しいと書かれているところがミソです。
番号は正しいけど、メールはフィッシングメールなのです。
そして、凄く良く無いサイトがあり、下記の要に今すぐ電話連絡しましょうと書かれています。
番号は正しいので、今起きている状況を詳細にお話したら、カード状態を調べていただけ
そのメールはフィッシングメールだと調べてはくれるので、半分あってるけど
基本的に、番号も含めてフィッシングメールの場合があるので要注意です。
見分け方
本文にあるこのアンカー(リンク Aタグといわれている)に埋まっているURLが
chromeであれば、マウスをリンクの上に持っていくと、飛び先のURLがブラウザーの一番下に出てきます。
下記画像の赤枠の所です。
楽天カードは、何をするにしても基本は、【https://www.rakuten-card.co.jp/e-navi】から始まるURLである為
ここに出てくるURLみたいな、リンクは書きませんが、なんちゃらなんちゃら.comみたいな事には
ならないのです。
もう1つの見分け方
届いたメールヘッダーからみる方法です。
だいたい下記のような感じになっていると思います。
ざっと眺めてください。
| ヘッダ情報 1.Return-Path: info@faq.rakuten.co.jp 2.Delivered-To: abcd@hogehoge.com 3.Received: from localhost (localhost [127.0.0.1]) by mx10.110110.jp (Postfix) with ESMTP id B0EB27FE68 for abcd@hogehoge.com; Mon, 17 Jul 2023 00:59:41 +0900 (JST) 4.Received: from mx10.110110.jp ([127.0.0.1]) by localhost (vmx.zero.jp [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id w0zcMgdsfsswWMmUj for abcd@hogehoge.com; Mon, 17 Jul 2023 00:59:41 +0900 (JST) 5.Received: from faq.rakuten.co.jp (unknown [122.241.59.253]) by mx10.110110.jp (Postfix) with ESMTP id 4932D7FE63 for info@faq.rakuten.co.jp To: 6.Subject: =?utf-8?B44CQ6YeN6dsfdsfdsfdsfdsgfsdgsdgfds44Gu44GU6YCj57WhIA==?= 7.Message-ID: 20fdfdsfdsfdsfs307170fdsfdsfds00002836775@faq.rakuten.co.jp 8.X-mailer: Foxmail 6, 13, 102, 15 [cn] 9.Mime-Version: 1.0 10.Content-Type: multipart/alternative; boundary=”=====003_Dragon541416725246_=====” 11.X-P3Scan: Version 2.3.2 by laitcg@cox.net/folke@ashberg.de |
| # | ヘッダ情報 | 解説 | 正常/偽装 |
| 1 | Return-Path | 返信先を定義している | 90%程度正常 |
| 2 | Delivered-To | 送信先を定義している | 正常 |
| 3 | Received: from localhost | サーバ内でループバック処理などで 複数ツールなどを経由して場合追加されていく #3については、Postfixが最後に処理をした事を意味している | 正常 |
| 4 | Received: from | サーバ内でループバック処理などで 複数ツールなどを経由して場合追加されていく #4については、amavisd-new(ウイルス検索ツール)が途中介入して処理をした事を意味している | 正常 |
| 5 | Received: from | ※ここ重要 faq.rakuten.co.jp (unknown [122.241.59.253]) 楽天のメールサーバの様に思いますが、ここ偽装されています 122から始まる番号を、インターネット界ではIPアドレスと言っており、いわゆる番地を意味します。 楽天は、日本の会社なんので、このIPアドレスも日本に割り当てがある番号が記録されるはずですが、これを調べると下記の通り中国から送信されたことが分かります。 ================================ role: CHINANET-ZJ Lishui address: No.466 Liqing Road,Lishui,Zhejiang.323000 country: CN → (中国) phone: +86-578-2179009 fax-no: +86-578-2179013 e-mail: anti-spam@mail.lsptt.zj.cn remarks: send spam reports to anti-spam@mail.lsptt.zj.cn remarks: and abuse reports to anti-spam@mail.lsptt.zj.cn remarks: Please include detailed information and times in UTC admin-c: CH103-AP tech-c: CH103-AP nic-hdl: CL59-AP mnt-by: MAINT-CHINANET-ZJ last-modified: 2011-12-06T00:11:26Z source: APNIC ================================ 本件本元だと、下記の様な表記になります。 Received: from mftprmb45-077.smtp.rakuten.co.jp (mftprmb45-077.smtp.rakuten.co.jp [133.237.45.77]) 番地の所有者を見ても、ちゃんと楽天株式会社となっています。 ================================ Network Information: [ネットワーク情報] a. [IPネットワークアドレス] 133.237.0.0/16 (マスク範囲) b. [ネットワーク名] RAKUTEN-NET f. [組織名] 楽天株式会社 g. [Organization] Rakuten,Inc. m. [管理者連絡窓口] JP00179607 n. [技術連絡担当者] JP00179607 o. [Abuse] p. [ネームサーバ] ns04.rakuten.co.jp p. [ネームサーバ] ns02.rakuten.co.jp p. [ネームサーバ] ns05.rakuten.co.jp p. [ネームサーバ] ns06.rakuten.co.jp p. [ネームサーバ] ns01.rakuten.co.jp p. [ネームサーバ] ns03.rakuten.co.jp [割当年月日] 2013/03/27 [返却年月日] [最終更新] 2021/10/07 14:56:02(JST) | 異常 |
| 6 | Subject: | いわゆる題名 | 正常 |
| 7 | Message | メールには、1通1通固有のIDが付加されています。 | 正常 |
| 8 | X-mailer | 偽装したメールサーバのバージョンが見えていますね。 ここでもCN(中国)と記載されていますね。 ここは流石に偽装できなかったのですね。 | 正常だけど、見分けるポイントあり |
| 9 | Content-Type | コンテンツのタイプを定義されています。 | 正常 |
| 10 | X-P3Scan | 送信元でウイルススキャンされたツールバージョンがみえてますね。 | 正常 |
まとめ
まずは、このようなメールがきたら、リンクをクリックしない。
クリックしただけで、接続したブラウザのIPアドレス(番地)やブラウザの種類やバージョン
使っているPCの種類やバージョンなどが抜かれます。
そして、これがやっかいなのですが、作りによっては、クッキーといわれる
値をブラウザーに埋め込まれ、そのクッキー情報が横展開されることで
色々な情報と紐付けがされて、個人情報まで特定されてしまう可能性があります。
楽天やその他は、ご自身が使っているWebサイトのURLどうかを確認してください。
中には、よーくみないと分からないURLで送ってくるパターンもあります。
joqr.com がオリジナルとかりにして、jo9r.comとかjopr.comとか1文字違いとかだと
ぱっと見区別がつかないことがあります。
最悪判断がつかない場合は、メールに書かれているサポートセンターじゃなく
ご自身が契約されているカード会社等を検索して、そこに記載している電話番号に
問い合わせして事情を話しして、カードの状態を調べてもらってください。
その際、暗証番号を聞いてくることは一切ないので、そんなことを聞いてくる場合
その確認したサイトが偽装されたサイトかも知れません。
ドメインもちゃんと確認してください。
くれぐれもご注意ください。
