今日の役に立たない一言 - Today’s Trifle! -

古い記事ではさまざまなテーマを書いていますが、2007年以降はプログラミング関連の話がほとんどです。

楽天市場を装った巧妙なSPAMを受信した

普段、おまけ程度に使ってる Yahoo のメールアドレスがあるんだけど、最近はこのアドレスに大量の SPAM が届くようになった。

SPAMが届くようになったきっかけはわかりきってて、Google+SPAMメールの内容をそのまま貼り付けたこと。その中にURLが含まれてて、Google+ のサーバーがそのURLにアクセス。たぶん、URLとメールアドレスが対応していて、受信したメールアドレスが生きているということをSPAM業者にお知らせしてしまったのだと思う。

Google+ にポストした内容はこちら。
https://plus.google.com/u/0/110132498049618908826/posts/4b5tZ6moDnB

それ以来、日に日にSPAMが増え続けて、いまでは1日に100通を超えるようになった。

メールアドレスが売られてるんだろうな。。。

で、そのアドレスに届いたメールのひとつが、巧妙だったのでこちらで紹介。

送信元は楽天市場を装っていた。このメールアドレスは楽天市場では使ってないから、見た瞬間にSPAMだろうってわかった。

もちろん、テレビとか冷風扇とかうまい棒600本なんて注文してないし、代引きで決済なんてしないから、楽天市場で使ってるメールアドレスに届いててもSPAMだと気付くのは間違いないけど、ちょっと戸惑うかも。

つーか、うまい棒600本も食えるかー!!

で、このメール、見かけはプレーンテキストに見える。

この度は楽天市場をご利用いただきまして、誠にありがとうございます。
本日、「代金引換」にて、
以下の商品を発送させていただきます。

----------------------------------------------------------------------
★ご注文内容
----------------------------------------------------------------------
取引番号:514526
お支払い:代金引換

【商品名】

panasonic スマートビエラTH-P55VT60 254,000円 (税込み)
この商品は、即日発送可能です。

冷風扇 スリムタイプ MSO-F1103S 12,800円 (税込み)
この商品は、即日発送可能です。

やおきんうまい棒 詰め合せ600本 30本入×20BOX(600本)5,029円(税込み)
この商品は、即日発送可能です。


手数料    :315円
小計     :271,829円
合計     :271,829円
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
楽天市場のご利用ありがとうございました。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

□商品、決済・発送に関するお問い合わせ
http://www.rakuten.co.jp/1/017/651/?url=em_help/index_id.html/

――――――――――――――――――――――――――――――――――
□このメールに心当たりの無い方<br>
http://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/2934/
――――――――――――――――――――――――――――――――――
□キャンセル・返金に関してはこちら<br>
http://www.rakuten.co.jp/com/faq/myorder.html/
――――――――――――――――――――――――――――――――――
□発行:楽天株式会社      ※ 無断転載/複製を禁じます。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

でも、メールのソースを見ると、これはプレーンテキストではなくて、Base64エンコードされたHTMLだったりする。
以下が、デコードしたもの(お問い合わせURL部分の後半は改変)。

<html><head><meta http-equiv="Content-Type" content="text/html; charset=Shift_JIS">
</head>この度は楽天市場をご利用いただきまして、誠にありがとうございます。<br>
本日、「代金引換」にて、<br>
以下の商品を発送させていただきます。<br>
<br>
----------------------------------------------------------------------<br>
★ご注文内容<br>
----------------------------------------------------------------------<br>
取引番号:514526<br>
お支払い:代金引換<br>
<br>
【商品名】<br>
<br>
panasonic スマートビエラTH-P55VT60 254,000円 (税込み)<br>
この商品は、即日発送可能です。<br>
<br>
冷風扇 スリムタイプ MSO-F1103S 12,800円 (税込み)<br>
この商品は、即日発送可能です。<br>
<br>
やおきんうまい棒 詰め合せ600本 30本入×20BOX(600本)5,029円(税込み)<br>
この商品は、即日発送可能です。<br>
<br>
<br>
<br>
手数料    :315円<br>
小計     :271,829円<br>
合計     :271,829円<br>
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━<br>
楽天市場のご利用ありがとうございました。<br>
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━<br>
<br>
□商品、決済・発送に関するお問い合わせ<br>
<a href="http://siribu6pos.net/free/c/rakuten?loginkey=d93b15cb74f3992d9df41453fd0e4cf41xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx">http://www.rakuten.co.jp/1/017/651/?url=em_help/index_id.html/</a><br>

――――――――――――――――――――――――――――――――――<br>
□このメールに心当たりの無い方<br>
<a href="http://siribu6pos.net/free/c/rakuten?loginkey=d93b15cb74f3992d9df41453fd0e4cf41xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx">http://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/2934/</a><br>
――――――――――――――――――――――――――――――――――<br>
□キャンセル・返金に関してはこちら<br>
<a href="http://siribu6pos.net/free/c/rakuten?loginkey=d93b15cb74f3992d9df41453fd0e4cf41xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx">http://www.rakuten.co.jp/com/faq/myorder.html/</a><br>
――――――――――――――――――――――――――――――――――<br>
□発行:楽天株式会社      ※ 無断転載/複製を禁じます。<br>
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━</html>

最後に3つ並んで書かれてるこのお問い合わせのURL、また送信先のメールアドレスに対応してるんだろうと思って、後半を改変しといた。

プレーンテキストと見せかけてHTMLになっているところが巧妙で、このメールを受け取って変だと思った人がURLにアクセスすることを期待されている。

http://siribu6pos.net/free/c/rakuten にアクセスすると出会い系サイトらしい。

もしかしたら、改変していない loginkey でアクセスすると楽天市場のフィッシングサイトにつながって、パスワードを盗まれるのかも、とか思ったりしたけど、さすがにあとがめんどくさそうなのでやんない。

とりあえずwhoisしてみた。

# whois siribu6pos.net
[Querying whois.verisign-grs.com]
[Redirected to whois.discount-domain.com]
[Querying whois.discount-domain.com]
[whois.discount-domain.com]
Domain Name: siribu6pos.net
Registry Domain ID:
Registrar WHOIS Server: whois.discount-domain.com
Registrar URL: http://www.onamae.com
Updated Date: 2014-08-19 20:22:41.0
Creation Date: 2014-07-11 07:25:07.0
Registrar Registration Expiration Date: 2015-07-11 07:25:06.0
Registrar: GMO INTERNET, INC.
Registrar IANA ID: 49
Registrar Abuse Contact Email: abuse@gmo.jp
Registrar Abuse Contact Phone:
Domain Status: ACTIVE
Registry Registrant ID:
Registrant Name: kazuya ooshima
Registrant Organization: kazuya ooshima
Registrant Street1: Umedahoncho1-62
Registrant Street2:
Registrant City: Kasukabe-shi
Registrant State/Province: Saitama
Registrant Postal Code: 344-0053
Registrant Country: JP
Registrant Phone: +81.09068388240
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: ishizuka.wakaba23@gmail.com
Registry Admin ID:
Admin Name: kazuya ooshima
Admin Organization: kazuya ooshima
Admin Street1: Umedahoncho1-62
Admin Street2:
Admin City: Kasukabe-shi
Admin State/Province: Saitama
Admin Postal Code: 344-0053
Admin Country: JP
Admin Phone: +81.09068388240
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: ishizuka.wakaba23@gmail.com
Registry Tech ID:
Tech Name: Taro Warita
Tech Organization: GMO Internet Inc.
Tech Street1: 26-1 Sakuragaoka-cho
Tech Street2: Cerulean Tower 11F
Tech City: Shibuya-ku
Tech State/Province: Tokyo
Tech Postal Code: 150-8512
Tech Country: JP
Tech Phone: +81.0354562555
Tech Phone Ext:
Tech Fax: +81.0354562556
Tech Fax Ext:
Tech Email: admin@onamae.com
Name Server: 01.dnsv.jp
Name Server: 02.dnsv.jp
DNSSEC:
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 2014-08-19 20:22:41.0 <<<

プレーンテキストのメールだと思っても、HTMLだったりするので、メール内のURLにアクセスするときは、書かれてるURLとリンク先が一致してるか確認するように気をつけたほうがいいね。


やおきん うまい棒 詰合わせ 30本入20袋 計600本
やおきん
売り上げランキング: 45,332