インフラエンジニアのブログ

スパムメール？
【緊急】楽天银行からの制限通知

お客さまのWEBサイトのご利用につきまして、パスワード等の入力相違が続きましたので、2023年8月8日午前2時39分に当社サイトのご利用（WEB、スマートフォン共通）を一時制限させていただきました。

文面からも怪しさしか感じないけど
一応メールのヘッダーを確認すると

Return-Path:
Received: from mizuho.co.jp ([154.204.34.45])

ツッコミどころ満載！
SMBC？どういうこと？
mizuho.co.jp って楽天銀行じゃないの？
多分メールのヘッダーの書き換え（どうやったかわからんけど）をやりすぎて
間違えて偽装したままメール出してしまったようで
ちなみにIPアドレスは香港のようでした

IPアドレスの偽装は難しいからまだそこまではやってないようですが
メールアドレスの偽装（メールサーバーが自動で付与してる）ものの偽装はもう当たり前のようです
メールサーバーを改造しているのかわからんけど、偽装の切り替えは簡単じゃなくて間違えやすいってことなのかなwww

お名前ドットコムを装ったフィッシングメールが来たが
よく出来た文面でヘルプのリンク先は本物だった
これ多分本当のメールを入手してコピーして作っているかと
もう文面で偽物を判断するのは難しいかも？

一応
【重要】お支払い情報の更新をお願いします
のリンク先のドメインが全く違うので騙される人は少ないと思うけど
今後はこのリンク先ももっと偽装（HTMLメールとかでよくある）してくるから注意だね

ヘッダー見ると偽装はされてないみたい
Return-Path:
Received: from asmi.co.jp ([137.220.181.235])

最近増えた中国のヘッダー偽装の手口とは別の組織かも
中国偽装集団はアホなのか楽天やアマゾンに偽装して国税庁の偽装メール出してたけどw

カード会社に成りすましてメールを送りつけてくる事例が増えているようです。
メールのリンクを踏まないように注意しましょう。

メールの本文を見ると、偽装がより巧妙になっているので注意
送り元のドメイン名まで偽装する凝りよう
これって逆引きまで偽装してるってことなのかな？

Return-Path:
Received: from rakuten-card.co.jp ([116.85.31.106])

IPアドレスが中国のアドレスになっている？
fromまで書き換える巧妙さがあるけど
メールの本文はどのカード会社でも同じテンプレートを使ってたようで
今後本文の方ももっと巧妙になってくる可能性が高いので注意しましょう。

怪しいメールが来てたのでメモ

【重要】楽天株式会社から緊急のご連絡

お客様の楽天市場にご登録のクレジットカード情報が第三者によって不正にログインされた可能性がございましたため、セキュリティ保護の観点から緊急の措置としてお客様の楽天会員登録のパスワードをリセットいたしました。
お手数をおかけして申し訳ございませんが、引き続き楽天会員登録をご利用になる場合は、お手続きをお願いいたします。楽天 IDとパスワードでログインしてアカウントを更新してください。

本当だったら問題だけど、とりあえずメールのヘッダーを確認したら
xxxxxxmarunouchi.tokyo.ocn.ne.jp
流石にここから本当のメールが来るとは思えないので、偽装メール確定ですね。
HTMLをちょっと見てみたら、画像などは本物と同じもの？を使ってるようで
文面や画像などで判断してると、間違ってクリックする可能性があるので注意しましょう。

8月、原価請求書です
株式会社アドマック の前田？？？

全く身に覚えのないメール
もちろん前田さんも知らないが、メールのヘッダーを確認したら kim.in.ua のパソコン？から送られているようで
明らかになりすましですね。
本当に存在している会社かどうか知らないけど、犯行集団がどっかで会社名の名簿を仕入れて使っているのかも？
今後も実際に存在している会社や人を勝手に名乗ってクリックさせようとしてくる可能性が高いので注意しましょう。

楽天から、購入してないのに、購入時に配信されるメールが何通か来てる
前にも似たようなメールあったけど、今回は電気屋さんでテレビを購入したことになってるらしい

ぎおん　ヤサカ電気
マサニ電気

うーん、知らん電気屋さんだけど、本当にあるかも知れないが、今回は明らかに偽装メールですね。
ちなみにメールのヘッダーを見ると
gov.uk からのメール出してる。
違うお店なのに、同じパソコン？からメールが送信されてるって、もう完全に詐欺メールじゃん
クリックすると何が起こるかわからないので気をつけましょう。
あと偽装するのは簡単なので、今後もバリエーション増えるので気をつけましょう

クレールオンラインショップで何かを購入したというメールがうちにもきていたけど
普段楽天で使ってないアドレスへのメールだったので、これは怪しいと思い調べたら

注意】楽天市場を装った不審なメールにご注意ください(注文内容ご確認メール)(2018年3月22日)
https://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/44204/?l-id=top_normal_emergency20180322

と楽天のトップページにもありました。
知らないお店だけど、実際に存在する店舗？を装ってメールを出しているようです。
もしかしたら、実際にこのお店で購入した時に送られるメールを犯人が入手して使っている可能性が高いかと

今後も似たような手口が増える可能性が高いので注意しましょう。
普段使っているお店からのメールでも、今後は注意した方が良いかと思います。
別途ブラウザを起動して、楽天のURLから購入履歴を確認する手順が今後増えそうですね。

fc2って動画でいろいろと問題起こした企業だなぁって思ってたら、動画視聴の請求がきてた。
もちろん見覚えないけど、一度ログオンしたらずっと使っている状態なんだって？
それで３日見続けたことになってる。
そんなシステムありえるのか？
明らかに問題あるんじゃ・・と不正請求メールに文句言っても意味ないか
でもこの請求して結局何がやりたいのか・・頑張って日本語のメール作ったから試しに送ってみてそれで反応を確かめているのかも？
とりあえず fc2 の評判を下げたい？それなら返信メールをたくさん送らせるとかの営業妨害でも狙うとかありそうだけど・・それも失敗してるしww
でも今後もっと精巧な不正請求メールがくる可能性があるので注意しましょう。

--- ここから
貴殿(当該利用会員)はfc2マーケットが管理管轄するWEBページにて、動画、音楽等の無料視聴の為にアカウントを作成し、その際に【xxx@xxx.com】をご自身で入力後、規約に同意をされ動画を視聴されました。
5分の無料視聴完了後、表示された有料動画に移行する案内に対し了承し、有料コンテンツを継続的に閲覧されております。

有料コンテンツ利用を終了する際は、必ずログアウトをして頂く必要があり、1分視聴した場合でも閲覧終了後にログアウトされない場合は、1分100円の料金が発生し、閲覧後から3日間未払いが続いた場合、強制的にアカウント停止処分となります。
現在ですが、アカウント停止処分の状態になっており、3日間分の未払いが発生してる状態になってます。
未納金と遅延損害金を含む合計ご請求額【513,600円】を支払期限内に速やかにお支払い下さい。
ご対応なき場合、然るべき機関において、法的手段を取らさせて頂きます。

--- 中略
＝登録に見覚えがない場合＝

fc2（WEBコンテンツマーケット）に登録をしてない、登録した記憶がない、有料チャンネル(音楽、動画)の視聴の記憶がない、その他間違いである場合、当カスタマーセンターにご連絡を頂きましたら、登録情報の確認並びに本人確認を行うことが可能となっております。
申請された登録情報が一致し、本人確認が完了した場合のみ、【アカウント削除】を行うことができ、fc2を保有する運営元が現在発生してる遅延損害金を含む未納金【513,600円】の債権放棄をします。

債権放棄履行後、遅延損害金を含む未納金【513,600円】の債務は消滅し、データベースに保存されてる登録されてる一切の個人情報を抹消し、登録されましたアカウントのご利用はできませんので、注意下さい。

＝債権放棄を希望する場合＝

現在発生してる遅延損害金を含む未納金【513,600円】の債務消滅、個人情報抹消を希望される場合、回答期限である本通知閲覧後24時間以内に【アカウント削除申請】と本通知に記載し、折り返しカスタマーセンターまでご連絡下さい。
【アカウント削除申請】の確認が取れましたら、カスタマーセンターより登録情報照合等のご連絡を致しますので、速やかに照合等を行って下さい。

最近詐欺メールが巧妙になってきてるので注意しましょう。
特に楽天カードやAppleを騙るメールが最近増えてますが、いくらでも簡単にメールは作れるので他社のシステムでもあり得るので注意しましょう。

お客様のApple ID が、ウェブブラウザからiCloudへのサインインに使用されました。
日付と時間：2017年12月26日 22:08 JST
のブラウザ： Chrome
オペレーティングシステム： Windows

こんな感じのメールが複数のサイトから送信されてきてました。
メールのヘッダーを見ると、海外のパソコン？からのものも多いようです。
Received: from xxx.ip.btc-net.bg (xxx.ip.btc-net.bg
みたいなもの、複数のIPアドレスから同じ文面のメールが送信されているので、リモート操作されている可能性もあるかと
最近はパソコンだけじゃなくルーターなども狙われていて、乗っ取り被害も増えてるそうです。
リモート操作されると、単なる被害者ではなく、下手すると加害者側に入ってしまうので注意しましょう。

楽天カードのメールになりすましたメールが大量に出回っているので注意しましょう。
最初は日本語が変なメールでわかりやすかったのですが、日本語が読める人が共犯に入って来て、文面で判断できなくなってきてるので注意してください。
メールのヘッダーをよく見ると、本物との違いがわかるけど、毎回そんなことをして確認するのは手間なので
今後は普段使っているメールでも、下手にクリックするのはやめた方がよさそうです。

今回はEdyチャージをしたことになっているようで
全く身に覚えないので、偽装だとすぐにわかりましたが
実際にチャージしてたら騙されてもおかしくないかと

最初はユーザーが多い楽天カードを狙ってきているようですが
もちろん他のカードについても今後は狙ってくる可能性が高いです。
しかも本物の通知メールを入手して偽装されてしまったら、もう文面で見破るのは不可能になります。
もう既にそこまで危険が迫っていると考えた方が良いです。
注意してても完全に防ぐのは難しくなっていると思った方が良いかと
ウイルス対策ソフトを入れていても、新しいウイルスには対応できない可能性もあるので安全ではないですので注意しましょう。
特に銀行関連の狙われると騙される可能性が高くなってしまうし、口座情報から被害が起こることもあります。

お知らせ？メールタイトルが変だったけど、今度はNHKオンデマンドに偽装してますね。
幼稚な手口だけど、実際に購入したことがあるサービスだと間違ってクリックしてしまう可能性もあるから気をつけるようにしましょう。

【 NOD 】 ご購入手続き完了のお

この度は、『NHKオンデマンド』をご利用頂き
誠にありがとうございました。
以下の通り、購入手続きが完了しました。

------------------------------------------------
[商品名] ドキュメント７２時間
[お問い合せ番号] 20126315-001980
[ご購入年月日] 2017年11月23日
[ご利用額合計(税込み)] ご利用金額 108 円
[ご利用条件] 購入後 1日0時間まで
[お支払い方法] クレジットカード
※キャンペーンご利用の方は、ログイン後
マイコンテンツでご確認下さい。
------------------------------------------------

108円？
利用したことないので、本物のメールがどんなものか知らないけど、最近はよく作り込まれているようで
日本語もこなれて来てるので注意しましょう。
ヘッダー確認すると、うちのは broadband.tenet.odessa.ua から送られているようで
マルウェアに感染したパソコンの可能性が高いかな

以前のスパムメール業者が、今度は楽天カードを狙って来てます。
それっぽいメールかな、ヘッダー見ると同じスパマーとすぐに分かったのでちゃんと読んでないけどw
今後もっと日本語を勉強？して騙そうとしてくる可能性が高いので注意しましょう。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　　　楽天カードからのお知らせ　　　　　　　　　　　　　　　　　　　　
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
いつも楽天カードをご利用いただきありがとうございます。
----------------------------------------------------------------------
今月の楽天カードの口座振替日は11月17日です。
（楽天カードの口座振替日は毎月27日になりますが、休日の場合は、
翌営業日となります。）
ご登録口座の残高のご準備は11月17日(金)までにお願いいたします。


【重要】━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
不正な画面を表示させて会員様の情報を盗み取ろうとする犯罪にご注意ください
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
会員様のパソコンがウィルスに感染したことにより、
会員様が楽天e-NAVIへログインする際に、不正な画面(偽画面)が
表示される事例が確認されています。

もしかして本物のメールにこんな文言記述されてるのかな？

怪しいメールが増えてます。文面が以前の楽天などを偽装したメールと似てるので一目で怪しいとわかりましたが、間違ってクリックしないように注意しましょう。

・怪しいメール
あなたのApple IDのセキュリティ質問を再設定してください。
クレジットカード決済が完了しました

安全のため、このApple IDはすでにロックされました。

あなたのApple IDはwindows PCのiCloudにログインしたりダウンロードしたりする操作があったとAppleゲームのセキュリティチームは発見しました。

この度はストアマッチをご利用いただき誠にありがとうございます。

クレジットカードでのお支払いが完了いたしました。

決済系のメールは、ちょうど買い物した時だったので一瞬本物かと思ってしまったw
偶然店舗名が一致しちゃったりすると危ないかも？
今後もにたような詐欺メールが増えると思われるので注意しましょう。

[佐川急便]　請求内容確定のご案内
という怪しいメールが来てました。
この前の楽天のと非常に似たメールが、別のメールアドレスへ
今度は違う仕組みで送信されたみたいですが
もしかしたら、ウイルスなどに感染したパソコンを遠隔操作してメールを送信しているかも？

平素は格別のご愛顧を賜り、心より御礼申し上げます。


※本メールは電子請求書発行サポートにご登録頂いたお客様を対象に送信しています。


請求の内容が確定しましたので、ご案内致します。

運賃請求書発行画面より請求書を取得して頂きます様、お願い申し上げます。


請求書番号
（中略）
本メールは佐川急便インターネットサービスより自動で送信されています。

返信されましても受け付けできませんのでご了承下さい。

文面が楽天を偽装したメールと似ている感じが
きっと日本語訳をした人が同じ？組織なのかも？

[楽天]会員情報変更のお知らせ
という明らかに怪しいメールが出回っているようです。
メールに個人情報は書かれてないし、メールのヘッダーを見ると複数のメールアドレスに一度に送信してるし（普通に他人のメールアドレスが見れちゃまずいでしょw）
ip-xxx.home.megalan.bg のパソコンから直接送信されてる見たい？

題名 ： [楽天]会員情報変更のお知らせ

差出人 ： myinfo@rakuten.co.jp

アドレスブックに登録する

（中略）

================================================================

※当社の個人情報の取扱いについては「個人情報保護方針」をご覧ください。

https://privacy.rakuten.co.jp/
※本メールは送信専用です。

ご返信いただきましてもお答えできませんのでご了承ください。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■楽天株式会社


今回は稚拙な文面で明らかに怪しいと一目でわかりましたが
今後日本語を学んで、本物っぽい文面に近づけてくる可能性もあるので注意しましょう。

LINEを騙ったスパムメールがまたきてた。
今度は２段階パスワードをしろってこと？
アカウントとパスワードを入力させて盗む手口だろうね。

---
[LINE]二段階パスワードの設置

最近LINEアカウントの盗用が多発しており、ご不便をもたらして、申し訳ありません。あなたのアカウントが盗まれないよう、システムは2段階パスワードに更新いたしました。なるべく早く設定をお願いします。

こんにちは、このメールはLINEで自動送信されています。
以下のURLをクリックし、二级パスワード設定手続きにお進みください。

---

メールのヘッダーを確認すると、明らかに変なものが・・LINEからのメールでないことは直ぐにわかります。
Fromは簡単に偽装できるが・・
From: "LINE"

Sender: mksls@ylmszivlx.net
これは何らかのアカウント？スパム送信システムに関連してる情報かも？
linode.comというクラウドのサーバーを使って発信されたようです。サーバー所有者が出したのか、たまたまそのサーバーが踏み台にされたのかまではわかりませんが
テキストのように装って実態はHTMLメールで、リンク先のアドレスを偽装するという手口は一緒ですね。

詐欺メール？っぽいのがきてました。いわゆる架空請求詐欺というやつと思われます。
怪しい、一応電話番号は書いてあるけど、住所がない。中途半端なメールだね。

---
（株）ジーエヌエスの日下と申します。
弊社は、総合情報サイト、出会い系サイト、アダルト動画サイトを提供しております運営会社様より利用規約又は、不正利用に至ったお客様のデータベースの抹消、退会手続きを受託し、この通達を発行致しております。
お客様の携帯端末若しくはパソコンで以前にご登録されました総合情報サイトにて無料お試し期間内での退会手続きが確認できておりません。
登録後、長期間放置状態となっており、規約違反に該当するため、不正利用者データベースにお客様の端末情報が登録開示されている状態です。
これ以上現在の状態が続きますと利用規約に基づき法的手段による違約金請求となりますので、ご理解のほどお願い致します。
退会処理、データベースの抹消手続きについては、下記番号へ翌営業日までにお問い合わせ下さいますようお願いいたします。
現在ご利用されてないお客様は退会処理をお願い致します。

（株）シーエヌエス
ご相談窓口　070-xxxx-xxxx
営業時間 10:00〜19:00
定休日　土曜日曜祝日
担当 日下
お力添え致しますのでご連絡ください。
手遅れとなる前のお電話お待ちしております。
---

具体的な情報が全くない。なんの手続きなの？
きになるから試しに電話してみようか・・・と遊ぶのも危ないので、いたずら電話する人も多そうだねww
メールのヘッダーを確認すると
From欄も自分のメールアドレスになってる。
これは普通のメールソフトではなくて、スパム専用のものを使って送信してると思われ、通常の経由ではないようです。
もしかしたら、誰かのパソコンからメールアドレスを拾って勝手に送信してる可能性もあるけど・・スパム送信ソフトのバグって可能性の方が高いかも？
どうせちゃんとテストもしてないだろうし、こんなプログラムを作る人もちゃんとした技術があるとは限らないですからねww
しかし、こういうメールに会社の名前を使われたらたまらないわ。そっちの方が迷惑かも？

Yahooショッピング？のメールがなぜか来てるが、明らかに怪しいメールなのだが、メールのヘッダーまで操作しててわかりにくくしてる？

レイバンのサングラス,80％の割引,利用期限は本日23時59分まで！

お見逃しな。今日限り活動特価2499円!

http://bit.ly/xxx 今日だけ

三つを買うなら、配達無料

すばらしい！美しい光線禁止サングラス、紫外線を拒んだ！！！

貴族の品質+100%品質保証

レイバン以外にも、いろいろなセールが来てるけど、文面がみんな似てるwww
きっと書いてる人（中国人？）が一緒なんだろうなぁ
bit.lyの短縮をクリックする人は、今時少ないとおもいますが、今後文面を改善？してくる可能性があるので注意しましょう。

メールのヘッダーを見ると から送信されてるような偽装がされてますが？？？
Return-Path:
Received: from rakuten.co.jp ([123.206.14.23])
うちに来たメールだと、なぜか楽天のサーバーからになってる？
これって前に楽天偽装に使ったメールサーバーを再利用したから？？

ラベル：Yahooショッピング スパム

LINEを騙る詐欺メールと思われるメールが何度も来てます。
まだ稚拙な文面ですが、今後より本物っぽくなってくる可能性もあるので注意しましょう。

---
LINECorporaitnopc
お客様のLINEアカウントに異常ログインされたことがありました。ウェブページで検証してお願いします。
こちらのURLをクリックしてください.
xxx
URLの安全認証有効期限は毎日9時から20時までです。

LINE
LINE Coriporation
---

メールのソースを確認すると、やっぱりHTMLメールで、実際のリンク先は別になってると思われるのでクリックしないように注意しましょう。
ちなみにメールのヘッダーを確認すると
From: "LINE"
ですが
Received: from eeaq.com
というところから送られて来てるようです。スパムメール発信エンジンでしょうか？

ラベル：line

【警告】異常な回数のログイン試行がありました
というタイトルでメールが来てたけど、もちろん身に覚えないし、そもそもNEXONのアカウント持ってないし
でもNEXONのアカウントを持ってたりすると引っかかってた可能性もあるので、注意しないとダメですね。
昔から似たようなメールは多かったけど、今は日本語も本物っぽい（本物のNEXONは知らないけど）日本語使える人が犯行グループにいるようなので注意しましょう。


※このメールは送信専用です。このメールに返信をいただきましても対応や回答返信は行っておりません
※ご不明な点は、NEXONウェブサイトの『よくある質問』をご確認ください。

日頃はNEXONをご愛顧いただき、誠にありがとうございます。

ご利用のアカウントに対して、一定時間内に基準値を超えた
異常な回数のログイン試行を確認したため、ご連絡します。

万が一、お客様ご自身のログイン試行ではない場合、お客様のNEXON IDや
パスワードの情報が漏えいし、第三者から不正なアカウント利用を
狙われている可能性があります。

至急、NEXONポータルサイトにアクセスの上、パスワード変更や
ワンタイムパスワードの利用設定などのセキュリティ対策を行ってください。

【マイページ　ログイン履歴】
ログインの詳細な履歴は、以下のページからログインすることでご確認いただけます。


ソースはHTMLファイルで、リンクは偽装されてると思われます。クリックしないように注意しましょう。
あとメールのヘッダーを見ると、明らかにNEXONのメールアドレスを偽装してますね。
@qxbrvo.netが送信に使われいるようですね。