見分けが付かない三井住友カードからの「最新情報のお届けをお願いいたします」メール

デジタルジュン
迷惑メール
見分けが付かない三井住友カードからの「最新情報のお届けをお願いいたします」メール
目次

またまた三井住友カードから真贋付かないメールが届きました。「最新情報のお届けをお願いいたします」という件名で中身は次の通りです。

**「年収」「お住まい」「家族構成」「運転免許証番号」**などの最新情報のお届けをお願いいたします。

おいおい、マジか。運転免許証番号をピンポイントで?

カードを作成する本人確認ならいざ知らず、最新情報? 免許証の番号が変わることはないでしょう?

この時点でダウトですよねー。

では、いつものように順番にみていきましょう。

すべてPASS

一応、SDFやDKIM、DMARCなどは全てPASSしています。

そういった点ではあからさまに目立つ怪しさはありません。だからややこしい。

送信元メールアドレス

次のボタンから問題のメール本文をご覧ください。

日本語として、または内容に関しておかしい箇所はありますか? ま、ありますよね。

問題のメール本文を見る
三井住友カードからの怪しいメール

2023年4月現在、三井住友カードで公開されている送信元メールアドレスは次の通りです。

  • @vpass.ne.jp
  • @mail.vpass.ne.jp
  • @contact.vpass.ne.jp
  • @smbc-card.com
  • @smbcgroup-point.jp
  • @otp-auth.net

詳しくは三井住友カードのお知らせページで確認しましょう。

但し、気を付けたいのは、このメールアドレスは偽装できます。

今回のメールも真贋が分かりかねる表記でした。一応は@contact.vpass.ne.jpとありました。Fromには、mail@contact.vpass.ne.jpと表記されていました。本来、これは正しい。

では、メールヘッダーに記載されているリターンパス(Return-Path)を見てみよう。

Return-Pathは本物?

あれ、正しい?

上段が今回のメール下段が正しい(と思われる)メール。同じ様式ですね。

今回のメール:Return-Path: bounce-14_HTML-157456897-728870-7236767-13024@bounce.contact.vpass.ne.jp
正しいメール:Return-Path: bounce-14_HTML-154074987-733929-7236767-30136@bounce.contact.vpass.ne.jp

三井住友カードからのメールはメーリングリスト形式と判別されます。サーバを調べるとアメリカのセールフォース(salesforce.com)でした。

そもそも記載されているbounceってエラーメッセージで見掛けるバウンスイベントで使われる。単なる言葉だけといえばそれまでだけどね。

恐らく、送信専用だから名付けているのか、そういう仕様なのか知らない。でも、紛らわしい。

メールの種類によっては別のメールサーバもある

実は三井住友カードからのお知らせメールは他にも種類があって、例えば「支払い金額のお知らせ」などは次の通りです。

58.138.162.25 (mail325.smbc.co.jp)

当然ながらReturn-Pathも違う。

結局、大企業って外部のメールサービスを使うから、ややこしくなっていく気がする。

Receivedも同じ

ここまでは、一見するとなんでも無さそうな気がして、ついスルーしてしまいますね。

次のReceivedをみてみると、今回のメールも同じサーバから出ています。(Salesforce.com, Inc.)

今回のメール:Received: from mta10.contact.vpass.ne.jp (mta10.contact.vpass.ne.jp. [13.111.14.90])
正しいメール:Received: from mta.contact.vpass.ne.jp (mta.contact.vpass.ne.jp. [13.111.14.81])

ドメインはmta10.〜やmta3.〜などもありました。

こういった迷惑メールに慣れてくると、一見しておかしい部分が見つかるので、メールヘッダーはいつも確かめる意味でみています。明らかにおかしい箇所はすぐに見つかるからです。

しかし、今回は正しいと思われるメールのヘッダーと瓜二つです。

全く意味が分かりませんね。もしかしてどちらも偽物? うーん。

もう1つ判別する要素がある

これまでの受信経験から、真贋が付きかねるパターンもありました。

ただ、2023年4月の時点と前置きしておきますが、未だに有効な判別方法があります。

それはハンドルネームの有無です。

実は三井住友カードは自分で設定するハンドルネームがあります。本名でもなく、無機質なメールアドレスでもなく、任意で好きな言葉を設定できるんですよね。

このハンドルネームは必ずメール本文最初に「設定したニックネーム 様」と記載されてきます。

誰も考えつかないような、本人しか分からない意味の言葉を設定すれば、ここは判別のポイントになります。

ハンドルネームを設定するとき最初に思ったのが「これまで抜かれたら意味が無い」ということでした。名前もそうですけど、個人情報としてハンドルネームまで盗られたら余計に混乱しますからね。

でも、今のところはこのハンドルネームは流失していない気がします。

今回のメールには三井住友カードVISA(SMBC)会員 様とありました。私はハンドルネームを設定しているので、これはダウトでいいでしょう!!

あくまでも確認要素の1つですよ。過信は禁物です。

本文がHTMLタグ

偽物は、メール本文がメールヘッダーでみると暗号化されていないのか、HTMLタグがそのまま表示されています。

三井住友カードからの正しいメールはすべてHTMLタグはメールヘッダーにありません。

ここも1つのポイントかなと思います。ただ、これも判別要素の1つです。

気を付け方

今回のメールのように、三井住友カードからのメールで判別する要素として、ハンドルネームは必ず確認しましょう。

三井住友カードからのメールで、最低限の確認はいつもしています。

  • ハンドルネームを確認する(コレ!大事)
  • Return-Pathを確認する(複数の場合もある)
  • IPアドレスの記載を逆引きで調べる

騙されないために最も大事なこと

利用しているサービスであっても、決してメール本文からリンクを開かないことでしょう。

本末転倒ですが、自己防衛のためにも、必ず自分で保存した正規URLからログインして確認することで防ぐことができます。

そのため、実際に利用しているサービスでも、個人的にメールサービスの配信はほぼ停止しています。クレジットカードでいえば、利用時にお知らせが来る設定のみで、あとの配信は停止です。

大企業病というか、意識高い系のサービスは、なぜかデフォルト設定が勝手にメールが送られている仕様だったりして迷惑メールとそう変わりません。有名なネットモールなども辟易しますよね。

もしくは、面倒な場合や念のために、スパムメールまで対応するセキュリティソフトを検討してはいかがでしょう。これも完璧はありませんが補助的に対策しておきましょう。何よりもリンクをクリックしないのが最も有効です。

最後にオチ

最後に種明かしとして、実は受け取ったメールは、三井住友カードに一度も登録していないメールアドレスに届きました。

はい、それだけでダウトです。

でも正直な話、今回は真贋が分かりませんでした。登録していないメールアドレス宛と、ハンドルネームが無い点はおかしいとすぐに分かります。

仮にメールが本物だとしても、メール内容に「年収」「お住まい」「家族構成」「運転免許証番号」を教えろだと眉をひそめるのもムリはありません。クレジットカードの性質上はおかしくはないのですけどね。

いや、運転免許証番号はおかしい!

皆さんも複数のメールアドレスを管理していると思いますが、何々用と分けて利用していれば、そこでも振りわけができます。面倒なことではありますが、実は気が付きやすいのでオススメです。

そして、登録メールアドレスって変更できるサービスも多いため、パスワードを変更するように年に1回くらいの頻度で登録メールアドレスも変更してしまえば、更に有効です。確かに面倒ですけどね。

ホント、やな世の中でございます。