「◆ アラート : 【Rakunten】アカウントがロックされました」というメールがフィッシング詐欺か検証する

公開日:2020/5/6

「◆ アラート : 【Rakunten】アカウントがロックされました」というメールがフィッシング詐欺か検証します。

異常な場所からアクセスされたためアカウントをロックした、確認して欲しいとログインを促すメールです。

文面は以下の通りです。

お客様各位、

あなたの Rakuten ID、異常な場所からアクセスされているため、ロックされています。

ログインの詳細：

日付： May 06, 2020

ブラウザ：Huawei P20

24時間以内にこのメッセージが確認されるまで、お客様のアカウントは保護されます。

指定した期限内にこのメッセージを確認しないと、アカウントは永久にロックされます。

確認ボタンを押して、アカウントが完全に安全になるまで提供する手順を完了してください。

ログインアクティビティを確認する

敬具、

Rakuten ID

まず、メールヘッダーから送信元を確認します。

From: Rakunten ID <norply_inf0idmailgkprqh@abx0auu00ne.com>
Return-Path: <norply_inf0idmailgkprqh@abx0auu00ne.com>

1 2	From: Rakunten ID <norply_inf0idmailgkprqh@abx0auu00ne.com> Return-Path: <norply_inf0idmailgkprqh@abx0auu00ne.com>

送信者名はRakunten IDとなっていますが、送信元メールアドレスとReturn-Pathはnorply_inf0idmailgkprqh@abx0auu00ne.comとなっています。

楽天のドメインではありません。

送信元サーバーを調べてみます。

Received: from ip-172-31-40-72 (ec2-3-22-186-53.us-east-2.compute.amazonaws.com. [3.22.186.53])

1	Received: from ip-172-31-40-72 (ec2-3-22-186-53.us-east-2.compute.amazonaws.com. [3.22.186.53])

3.22.186.53というIPアドレスが出てきました。

これはAmazonに割り当てられたIPアドレスで、amazonaws.comとありますからamazonのクラウドサービスから送信されているようです。

次にメールの誘導先を調べてみます。

<a class="mcnButton " title="ログインアクティビティを確認する" href="https://kddi.saferedirected.com/r/sAPg4uF?idtrack=nECTcGQ3IuWf?utm_medium=email&utm_source=atmos&utm_campaign=32966&ec_media=c_615953&utm_content=5597SVE

1	<a class="mcnButton " title="ログインアクティビティを確認する" href="https://kddi.saferedirected.com/r/sAPg4uF?idtrack=nECTcGQ3IuWf?utm_medium=email&utm_source=atmos&utm_campaign=32966&ec_media=c_615953&utm_content=5597SVE

非常に長いURLになっていますが、これは分解できます。

https://kddi.saferedirected[.]com/r/sAPg4uF

idtrack=nECTcGQ3IuWf　トラッキングIDと思われます。

utm_medium=email　GoogleアナリティクスのカスタムURLで、広告メディアやマーケティングメディアを識別します（CPC 広告、バナー、メールニュースレターなど）。

utm_source=atmos　プロパティにトラフィックを誘導した広告主、サイト、出版物、その他を識別します（Google、ニュースレター 4、屋外広告など）。

utm_campaign=32966　GoogleアナリティクスのカスタムURLで、商品のキャンペーン名、テーマ、プロモーションコードなどを指定します。

utm_content=5597SVE　GoogleアナリティクスのカスタムURLで、似通ったコンテンツや同じ広告内のリンクを区別するために使用します。たとえば、メールのメッセージに行動を促すフレーズのリンクが 2 つある場合は、utm_content を使用して別々の値を設定し、どちらが効果的か判断できます。

つまり、このメールの送信者はどのメールがより効果的かのデータを取るために分析しているということです。

では、早速安全を担保したうえでこのURLへアクセスしてみます。

Domain Name: saferedirected.com
Registry Domain ID: 2522619506_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.wildwestdomains.com
Registrar URL: http://www.wildwestdomains.com
Updated Date: 2020-05-05T19:02:47Z
Creation Date: 2020-05-05T19:02:46Z
Registrar Registration Expiration Date: 2021-05-05T19:02:46Z
Registrar: Wild West Domains, LLC
Registrar IANA ID: 440
Registrar Abuse Contact Email: abuse@wildwestdomains.com
Registrar Abuse Contact Phone: +1.4806242505
Reseller: Microsoft Office 365
Domain Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited http://www.icann.org/epp#clientUpdateProhibited
Domain Status: clientRenewProhibited http://www.icann.org/epp#clientRenewProhibited
Domain Status: clientDeleteProhibited http://www.icann.org/epp#clientDeleteProhibited
Registrant Organization: 
Registrant State/Province: Toyama
Registrant Country: JP
Registrant Email: Select Contact Domain Holder link at https://www.secureserver.net/whois?plid=1387&domain=saferedirected.com
Admin Email: Select Contact Domain Holder link at https://www.secureserver.net/whois?plid=1387&domain=saferedirected.com
Tech Email: Select Contact Domain Holder link at https://www.secureserver.net/whois?plid=1387&domain=saferedirected.com
Name Server: NS1.BDM.MICROSOFTONLINE.COM
Name Server: NS2.BDM.MICROSOFTONLINE.COM
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 2020-05-06T08:00:00Z <<<

Domain Name: saferedirected.com

Registry Domain ID: 2522619506_DOMAIN_COM-VRSN

Registrar WHOIS Server: whois.wildwestdomains.com

Registrar URL: http://www.wildwestdomains.com

Updated Date: 2020-05-05T19:02:47Z

Creation Date: 2020-05-05T19:02:46Z

Registrar Registration Expiration Date: 2021-05-05T19:02:46Z

Registrar: Wild West Domains, LLC

Registrar IANA ID: 440

Registrar Abuse Contact Email: abuse@wildwestdomains.com

Registrar Abuse Contact Phone: +1.4806242505

Reseller: Microsoft Office 365

Domain Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited

Domain Status: clientUpdateProhibited http://www.icann.org/epp#clientUpdateProhibited

Domain Status: clientRenewProhibited http://www.icann.org/epp#clientRenewProhibited

Domain Status: clientDeleteProhibited http://www.icann.org/epp#clientDeleteProhibited

Registrant Organization:

Registrant State/Province: Toyama

Registrant Country: JP

Registrant Email: Select Contact Domain Holder link at https://www.secureserver.net/whois?plid=1387&domain=saferedirected.com

Admin Email: Select Contact Domain Holder link at https://www.secureserver.net/whois?plid=1387&domain=saferedirected.com

Tech Email: Select Contact Domain Holder link at https://www.secureserver.net/whois?plid=1387&domain=saferedirected.com

Name Server: NS1.BDM.MICROSOFTONLINE.COM

Name Server: NS2.BDM.MICROSOFTONLINE.COM

DNSSEC: unsigned

URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/

>>> Last update of WHOIS database: 2020-05-06T08:00:00Z <<<

日本で登録されているドメインのようです。

さて、アクセスしてみましたが、Google.comにリダイレクトされてしまいました。

システムの設定がうまくいっていないようです。

saferedirected.comを直接叩いてみると、オープンディレクトリとなっていました。

kddiというディレクトリがあるのが分かります。

この中に行ってみると、

Antibot v2.6というタイトルのファイルがありました。

CSSのパスが通っていないようなので、

https://kddi.saferedirected[.]com へアクセスしてみると、

CSSのパスが通りました。

Antibot は、リアルタイムでユーザーを監視するためのツールです。

そして、望まない訪問者の場合デフォルトの設定でgoogle.comへとリダイレクトします。

よって、この設定によるものだと思われます。

「◆ アラート : 【Rakunten】アカウントがロックされました」というメールはフィッシング詐欺

「◆ アラート : 【Rakunten】アカウントがロックされました」というメールはフィッシング詐欺です。

このメールは楽天とは全く関係のないAWSから送信されており、リンクの誘導先も楽天とは全く関係のないWebサイトです。

このメールの送信者はアクセスしてきた訪問者のデータを取得しており、ツールを使って常にモニタリングしています。

不要な情報を渡さないためにも、アクセス自体をしないほうが安全です。

関連するこの記事も読まれています

2022.12.07 →【楽天重要なお知らせ】というメールがフィッシング詐欺か検証する。

2022.12.05 →【楽天】RakutenIDのロックを解除するには、以下のリンクをクリックしてください。というメールがフィッシング詐欺かを検証する。

2022.11.21 →【楽天カード株式会社】アカウントが停止される可能性がございます。というメールがフィッシング詐欺かを検証する

2022.11.12 →[楽天]あなたのアカウントを確認【アカウントのご使用は制限されています】ログイン通知 .ログイン日時: 21:16:50 利用アプリ: [Microsoft Edge Windows 10] IPアドレス: 189.44.198.191 というメールがフィッシング詐欺かを検証する

2022.11.08 →【緊急連絡】[楽天市場]情報の有効期限が切れ、アカウントの使用が停止されました. というメールがフィッシング詐欺かを検証する

2022.10.11 →【アカウントのご使用は制限されています】ログイン通知 .ログイン日時: 10:40:50 利用アプリ: [Microsoft Edge Windows 10] IPアドレス:98.207.6.115 というメールがフィッシング詐欺か検証する

2022.10.04 →【楽天カード】ご利用のアカウントを一時保留いたしましたというメールがフィッシング詐欺か検証する

2022.08.02 →楽天のサービスと誤認させる仮想通貨取引プラットフォームのフィッシング詐欺がFacebook広告で増加中

2020.10.03 →【重要】あなたのアカウントは盗難の危険にさらされていますという楽天からのメールがフィッシング詐欺か検証する

2020.07.21 →【あなたのアカウントは異常行為で制限されています。】という楽天からのメールがフィッシング詐欺か検証する

カテゴリ：フィッシング
タグ：Antibot,スパムメール,フィッシング詐欺,楽天

「◆ アラート : 【Rakunten】アカウントがロックされました」というメールがフィッシング詐欺か検証する

「◆ アラート : 【Rakunten】アカウントがロックされました」というメールはフィッシング詐欺

関連記事

関連記事

人気記事

CCSIのサービス

無料ツール

「◆ アラート : 【Rakunten】 アカウントがロックされました」というメールがフィッシング詐欺か検証する

「◆ アラート : 【Rakunten】 アカウントがロックされました」というメールはフィッシング詐欺

関連記事

関連記事

【第二弾】三井住友カード株式会社から緊急のご連絡、文面違いのメールを調べてみる

【American Express】カードご利用金額のお知らせというフィッシング詐欺メールの解析

[じゃらんnet]にご登録のアカウント（名前、パスワード、その他個人情報）の確認 というメールがフィッシング詐欺か検証する

「【MyJCB】お支払い方法を更新してください（自動配信メール）」というメールがフィッシング詐欺か検証

支払情報一致していませんというAmazonからのメールがフィッシング詐欺か検証する

人気記事

CCSIのサービス

無料ツール

「◆ アラート : 【Rakunten】アカウントがロックされました」というメールがフィッシング詐欺か検証する

「◆ アラート : 【Rakunten】アカウントがロックされました」というメールはフィッシング詐欺

[じゃらんnet]にご登録のアカウント（名前、パスワード、その他個人情報）の確認というメールがフィッシング詐欺か検証する