2017年11月07日

【日記】詐欺メール注意報・楽天&佐川急便偽装

 土日には送ってこないのに、平日になると「まるでそれを仕事としているかのように」詐欺メールが送りつけられてくる。
 本当に「おまえら、人をだまして食う飯は美味いか?」と罵ってやりたくなる。
 今回の第一弾は「楽天」を偽装した詐欺メール。「会員情報が変更された」という内容で、心当たりのない人が「すわ楽天のアカウントを乗っ取られたか!」とあせってアクセスしてしまう可能性がある。悪辣この上ない。

 なお、下記の引用は冒頭部に変なところもあるが、伏字以外はほぼ原文ママである(改行などは編集した)。

題名 : [楽天]会員情報変更のお知らせ
差出人 : myinfo@rakuten.co.jp
アドレスブックに登録する
全ヘッダー表示▼
こちらをクリックして、ご請求を詳しく説明してください
※このメールはお客様の会員登録の情報が変更されたことをお知らせする重要なご連絡です。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
ただいま、お客様からの変更処理に基づいて会員登録情報が変更されました。
万が一、本メールの内容に覚えがない場合には以下までお問い合わせください。
----------------
楽天市場 お客様サポートセンター
>電話でのお問い合わせ 
 電話番号: 050-xxxx-xxxx
 受付時間: 9:00 〜18:00 (年中無休)
 ※通話料は、お客様負担となります。
チャットでのお問い合わせ
 受付時間: 9:30 〜翌1:00(年中無休)
メールでのお問い合わせ
 受付時間: 24時間365日(年中無休)
----------------
変更された情報は、以下のページよりご確認いただけます。
■楽天会員情報の管理画面
https://member.id.rakuten.co.jp/rms/nid/menufwd
【メールアドレスを変更された場合】
セキュリティ確保の観点から、変更前のメールアドレスにもこのメールを送信させていただいております。
================
※当社の個人情報の取扱いについては「個人情報保護方針」をご覧ください。
https://privacy.rakuten.co.jp/
※本メールは送信専用です。
ご返信いただきましてもお答えできませんのでご了承ください。
━━━━━━━━
■楽天株式会社


 引用中の赤い部分が、htmlメールをそのまま見られる環境だとリンクになっており、それを踏むとトロイを仕込もうとし、また「楽天カードからのお知らせ.zip」というトロイのアーカイブをダウンロードさせようという仕組み。ユニーク文字列も仕込んであり、メアドが生きているかどうかもチェックしている可能性がある。

 匿名アクセスの手段を使って踏んでみたところ、仕込もうとしてくるトロイをうちのワクチンソフトはきちんとチェックし削除してくれたが、必ずしもうまくいくとは限らないので、わからない人はリンクを踏んでみたりはしないのが吉。

 また、上記の電話番号「050-xxxx-xxxx」に非通知で電凸してみたが、「この番号は使われておりません」だった。
 しかも、これがメールごとに違う番号になっている。なにか怪しい雰囲気がしたので、ここでは伏字にしておいた。

 なお、送信元として使われている「myinfo@rakuten.co.jp」は本当に楽天からメールが送られてくるときにも使われるメアドなので、これでスパム判定はできない。
「楽天会員情報の管理画面」「個人情報保護方針」も本物のURLである。本物だけURLを記してリンクを貼らないあたりに、なんとも、この詐欺グループの稚拙さを装った陰湿なところを感じる。

 第二弾は「佐川急便」を偽装したメール。
 Subjectは「[佐川急便] 請求内容確定のご案内」となっている。

平素は格別のご愛顧を賜り、心より御礼申し上げます。
※本メールは電子請求書発行サポートにご登録頂いたお客様を対象に送信しています。
請求の内容が確定しましたので、ご案内致します。
運賃請求書発行画面より請求書を取得して頂きます様、お願い申し上げます。
請求書番号
【xxxxxxxxxx】
┏━━━━━━
■取得方法
┗━━━━━━
『電子請求書発行サポートメニュー』選択後、『運賃請求書発行』から取得して下さい。
WEBトータルサポート(電子請求書発行サポート)へのログインはこちら
┏━━━━━━
■ご注意
┗━━━━━━
請求書をダウンロードいただく際には大変混雑が予想されます。
アクセスにお時間を要した場合は、ご面倒ではございますがしばらくたってからご利用いただけますようお願い申し上げます。
電子請求書発行サポートサービスは携帯電話ではご利用いただけません。
パソコンからのみご利用頂けます。
今後とも、いっそうのお引き立て賜りますよう、お願い申し上げます。
佐川急便株式会社
--------------
▼お問合わせ先
操作方法等に関するお問い合わせは、
佐川急便 CSインフォメーションセンターまでお電話ください。
佐川急便株式会社 CSインフォメーションセンター
TEL:xxxx-xx-xxxx
メールアドレス:xxxxxxxxxxxxxx@xxxxxxxxxx.xx.xx
受付時間:9:00〜17:00(月〜金 ※祝祭日・年末年始を除く)
----------------------------------------------------------
本メールは佐川急便インターネットサービスより自動で送信されています。
返信されましても受け付けできませんのでご了承下さい。


 こちらの詐欺メールも、htmlメールが見られる環境だと赤字の部分がイカサマリンクになっている。
「楽天メール」と同じ手法で確かめてみると、やはりトロイを送り込もうとし、苦笑してしまうことに、佐川急便を名乗っていながら「楽天カードからのお知らせ.zip」をダウンロードさせようとしてくる。

 この埋め込んである詐欺URLのドメインは「楽天」の詐欺メールと同じもの。つまり同じ詐欺グループからのものである。
 わたしはフィッシングメールにわざとかかってその出来栄えを評価するのが趣味のひとつだが(悪趣味)、この詐欺連中は詰めが甘くてもううんざりだ。

 かえすがえすも残念に思うのは、世の中にHTMLメールなんぞというくだらないものが定着してしまったという現実である(RFCにも規定されてしまったので仕方ないが)。
 こんなくだらないものをメールに実装しなかったら、現代のフィッシング詐欺の多くが防げたであろうに。

 旧いコンピュータ屋で、HTMLメールを「大っ嫌い」という人間は少なくないはずである。

 なお、「あなたのApple IDのセキュリティ質問を再設定してください。」の詐欺メールと、「バリューコマース株式会社」を騙る「クレジットカード決済が完了しました」の詐欺メール、「ANA ToMeCARD PASMO(JCB)」を装った「JCBカード2017年11月10日分お振替内容確定のご案内」の詐欺メールも来ている。
 いずれもヘッダに特徴がある(User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Thunderbird/45.2.0が含まれている)ため、同一詐欺グループと思われる。

 読者諸兄姉におかれましては、ご注意及び、周囲への注意喚起のほどを。
posted by 結城恭介 at 08:00| 日記