【重要】楽天株式会社アカウントの情報を確認する必要があります 2020/※/※というメールが詐欺か分析する

公開日:2020/4/7

【重要】楽天株式会社アカウントの情報を確認する必要があります 2020/※/※というメールが詐欺か分析してみます。

このメールの文面は以下の通りです。

【重要】楽天株式会社アカウントの情報を確認する必要があります 2020/※/※

【重要】カスタマセンタ-からのご案内

下記内容をご確認いただきますよう、何卒お願い伸し上げます。

お客様の楽天市場にご登録のクレジットカード情報が第三者によって不正にログインされた可能性がございましたため、セキュリティ保護の観点から緊急の措置としてお客様の楽天会員登録のパスワードをリセットいたしました。

お手数をおかけして申し訳ございませんが、引き続き楽天会員登録をご利用になる場合は、お手続きをお願いいたします。楽天 IDとパスワードでログインしてアカウントを更新してください。

ここをクリック

上記が問題でない場合は、このメールを無視してください。

今後ともよろしくお願い致します。

楽天市場

発行元：楽天株式会社

メールの送信元をメールヘッダーから調べてみます。

From: "Rakuten.co.jp" <mo@rakutencojp.xsrv.jp>
Return-Path: <mo@rakutencojp.xsrv.jp>

1 2	From: "Rakuten.co.jp" <mo@rakutencojp.xsrv.jp> Return-Path: <mo@rakutencojp.xsrv.jp>

メール送信者名はRakuten.co.jpになっていますが、送信元のメールアドレスはrakutencojp.xsrv.jpとなっています。

xsrv.jpは日本のエックスサーバーのドメインです。

不自然なので、送信元のサーバーも確認してみましょう。

Received: from yahoo2.com.cn (unknown [108.61.223.196])

1	Received: from yahoo2.com.cn (unknown [108.61.223.196])

yahoo2.com.cnという中国ドメインのホスト名のようです。

一見Yahooのドメインのように見えますが、yahoo2ですのでYahooとは関係のないものです。

よってこのドメインのWhois情報を見てみると谢林非という個人名が出てきます。

Domain Name: yahoo2.com.cn
ROID: 20190416s10011s90482867-cn
Domain Status: ok
Registrant ID: cn61374373815963
Registrant: 谢林非
Registrant Contact Email: 1325848452@qq.com
Sponsoring Registrar: 成都西维数码科技有限公司
Name Server: ns4.myhostadmin.net
Name Server: ns1.myhostadmin.net
Name Server: ns2.myhostadmin.net
Name Server: ns3.myhostadmin.net
Name Server: ns5.myhostadmin.net
Registration Time: 2019-04-16 21:28:35
Expiration Time: 2020-04-16 21:28:35
DNSSEC: unsigned

Domain Name: yahoo2.com.cn

ROID: 20190416s10011s90482867-cn

Domain Status: ok

Registrant ID: cn61374373815963

Registrant: 谢林非

Registrant Contact Email: 1325848452@qq.com

Sponsoring Registrar: 成都西维数码科技有限公司

Name Server: ns4.myhostadmin.net

Name Server: ns1.myhostadmin.net

Name Server: ns2.myhostadmin.net

Name Server: ns3.myhostadmin.net

Name Server: ns5.myhostadmin.net

Registration Time: 2019-04-16 21:28:35

Expiration Time: 2020-04-16 21:28:35

DNSSEC: unsigned

さて、誘導先も確認してみます。

メール本文はBase64で難読化されているので、デコードします。

<A role=link style="CURSOR: pointer; TEXT-DECORATION: underline; COLOR: rgb(0,136,204); OUTLINE-WIDTH: medium; OUTLINE-STYLE: none; OUTLINE-COLOR: invert; LINE-HEIGHT: 18px" 
                  href="http://rakuncle.co/" rel=noopener 
                  target=_blank>

<A role=link style="CURSOR: pointer; TEXT-DECORATION: underline; COLOR: rgb(0,136,204); OUTLINE-WIDTH: medium; OUTLINE-STYLE: none; OUTLINE-COLOR: invert; LINE-HEIGHT: 18px"

href="http://rakuncle.co/" rel=noopener

target=_blank>

となっており、http://rakuncle[.]coというサイトに誘導されるようです。

さて、安全を確保したうえでこのサイトに行くと、偽の楽天カードのログイン画面が現れます。

このページのソースを確認してみると、

http://support-japan-50[.]info/

1	http://support-japan-50[.]info/

というドメインのサイトからコピーしたもののようです。

また、下戴というダウンロードを表す中国語も混在しています。

この SUPPORT-JAPAN-50.INFOドメインについても、ついでなのでWhois情報を調べてみます。

Domain Name: SUPPORT-JAPAN-50.INFO
Registry Domain ID: D503300001182244014-LRMS
Registrar WHOIS Server: whois.west.cn
Registrar URL: https://whois.west.cn/
Updated Date: 2020-01-11T20:30:26Z
Creation Date: 2019-11-12T08:54:08Z
Registry Expiry Date: 2020-11-12T08:54:08Z
Registrar Registration Expiration Date:
Registrar: Chengdu West Dimension Digital Technology Co., Ltd.
Registrar IANA ID: 1556
Registrar Abuse Contact Email: abuse@west.cn
Registrar Abuse Contact Phone: +86.2862778877
Reseller:
Domain Status: clientHold https://icann.org/epp#clientHold
Registrant Organization: ??
Registrant State/Province: ??
Registrant Country: CN
Name Server: NS1.DNS.COM
Name Server: NS2.DNS.COM
DNSSEC: unsigned