「あなたのアカウントは異常行為で制限されています。」という楽天からのメールがフィッシング詐欺か検証する

公開日:2020/7/3

「あなたのアカウントは異常行為で制限されています。」という楽天からのメールがフィッシング詐欺か検証します。

あなたのアカウントのアドレスが変更されましたとして、アカウントの停止からの解除を求める内容です。

文面は以下の通り。

あなたのアカウントは異常行為で制限されています

Windows XP SP2をご利用で画像が表示されない方へ

楽天からのご挨拶です

お客様のアカウントの保護を重視しております。

あなたのアカウントのアドレスが変更されました:

関谷哲朗セキヤテツロウ

2850861

千葉県佐倉市臼井１２５５－１

ヴィラ小笹台201号室

080-4075-5353

アカウントの使用環境のため、この操作を停止しましたので、異常操作としてマークしてお知らせします。

この場合、楽天市場にログインしてアカウントのロック解除の確認を完了し、プロセスをキャンセルしてください。

お客様の会員情報

ご登録いただいたユーザ ID: example@example.com

異常を確認し、解除する

※アカウントの異常を削除しないと、アカウントの使用と販売活動を停止する可能性があります。

※画面の指示に従って解除を続けてください。

ご理解ありがとうございます！

■このメールは送信専用メールアドレスから配信されています。ご返信いただいてもお答えできませんのでご了承ください。

■個人情報の取扱いについては個人情報保護方針をご覧ください。

■ご登録に心あたりがない場合、ご質問等のある方は、こちらのヘルプページご参照のうえ、お問い合わせフォームからご連絡ください。

楽天市場 | 楽天グループ一覧 | 総合案内所 | ランキング | ヘルプ | 個人情報保護方針

© Rakuten, Inc.

メールヘッダーから、メールの送信元を調べてみます。

From: "【楽天】" <myaccount@rakutendoworks.best>
Return-Path: <myaccount@rakutendoworks.best>

1 2	From: "【楽天】" <myaccount@rakutendoworks.best> Return-Path: <myaccount@rakutendoworks.best>

送信者名は【楽天】となっていますが、送信者メールアドレス、またReturn-Pathは myaccount@rakutendoworks[.]best と楽天とは全く無関係のメールアドレスが指定されています。

メールの送信元サーバーも調べてみます。

Received: from 133-130-91-141 (v133-130-91-141.a020.g.tyo1.static.cnode.io [133.130.91.141])

1	Received: from 133-130-91-141 (v133-130-91-141.a020.g.tyo1.static.cnode.io [133.130.91.141])

133.130.91.141というIPアドレスが出てきました。

このIPアドレスを調べてみると、日本のGMOインターネットに割り当てられているIPアドレスのようです。

次に、メール本文中のリンクの誘導先を調べてみます。

メール本文はbase64でエンコードされているので、デコードします。

すると、

A href="https://id.rakuten.co.jp.doinworks.com/certification_account?ssl=fvg34m235lni768vxd9d6s4c7jf4g2bdf&amp;secure=hcbc7vc53vn2nf8s8s88x"

1	A href="https://id.rakuten.co.jp.doinworks.com/certification_account?ssl=fvg34m235lni768vxd9d6s4c7jf4g2bdf&secure=hcbc7vc53vn2nf8s8s88x"

となっており、https://id.rakuten.co.jp.doinworks[.]com/ というドメイン配下にリンクしていることが分かりました。

なお、このドメインのwhois情報を調べてみるとプライバシー保護サービスを利用していますが、取得されて間もないドメインだということが分かります。

Domain name: doinworks.com
Registry Domain ID: 
Registrar WHOIS Server: whois.eranet.com
Registrar URL: http://www.eranet.com
Updated Date: 2020-06-25T00:00:00Z
Creation Date: 2020-06-25T16:24:02Z
Registrar Registration Expiration Date: 2021-06-25T00:00:00Z
Registrar: ERANET INTERNATIONAL LIMITED
Registrar IANA ID: 1868
Registrar Abuse Contact Email: service@eranet.com
Registrar Abuse Contact Phone: +852.39995400
Reseller:     
Domain Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Registry Registrant ID: REDACTED FOR PRIVACY 
Registrant Name: REDACTED FOR PRIVACY 
Registrant Organization: REDACTED FOR PRIVACY 
Registrant Street: REDACTED FOR PRIVACY 
Registrant City: REDACTED FOR PRIVACY 
Registrant State/Province: CHERKASKA REGION 
Registrant Postal Code: REDACTED FOR PRIVACY 
Registrant Country: UA 
Registrant Phone: REDACTED FOR PRIVACY 
Registrant Phone Ext: REDACTED FOR PRIVACY 
Registrant Fax: REDACTED FOR PRIVACY 
Registrant Fax Ext: REDACTED FOR PRIVACY 
Registrant Email: http://www.tnet.hk/whois/message_to_contact.php?domain=doinworks.com&contact=Owner

Domain name: doinworks.com

Registry Domain ID:

Registrar WHOIS Server: whois.eranet.com

Registrar URL: http://www.eranet.com

Updated Date: 2020-06-25T00:00:00Z

Creation Date: 2020-06-25T16:24:02Z

Registrar Registration Expiration Date: 2021-06-25T00:00:00Z

Registrar: ERANET INTERNATIONAL LIMITED

Registrar IANA ID: 1868

Registrar Abuse Contact Email: service@eranet.com

Registrar Abuse Contact Phone: +852.39995400

Reseller:

Domain Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited

Registry Registrant ID: REDACTED FOR PRIVACY

Registrant Name: REDACTED FOR PRIVACY

Registrant Organization: REDACTED FOR PRIVACY

Registrant Street: REDACTED FOR PRIVACY

Registrant City: REDACTED FOR PRIVACY

Registrant State/Province: CHERKASKA REGION

Registrant Postal Code: REDACTED FOR PRIVACY

Registrant Country: UA

Registrant Phone: REDACTED FOR PRIVACY

Registrant Phone Ext: REDACTED FOR PRIVACY

Registrant Fax: REDACTED FOR PRIVACY

Registrant Fax Ext: REDACTED FOR PRIVACY

Registrant Email: http://www.tnet.hk/whois/message_to_contact.php?domain=doinworks.com&contact=Owner

安全を担保してこのURLにアクセスしてみます。

すると、

このように、楽天ログイン画面の偽のページが運用されています。

このように個人情報を窃取する流れになります。

このフィッシング詐欺サイトのIPアドレスは173.82.168.176であり、

OrgName:        MULTACOM CORPORATION
OrgId:          MULTA
Address:        16654 Soledad Canyon Rd #150
City:           Canyon Country
StateProv:      CA
PostalCode:     91387
Country:        US　　　→　（アメリカ合衆国）
RegDate:        2005-03-23
Updated:        2017-01-28
Ref:            https://rdap.arin.net/registry/entity/MULTA