スパムメール情報「【重要】えきねっとアカウントの自動退会処理について」も中国だった

デジタルジュン
迷惑メール
スパムメール情報「【重要】えきねっとアカウントの自動退会処理について」も中国だった
目次

本物と比べれば一目瞭然なので、メールから飛ばないのが一番安全なのです。これはログインが伴ったり、お金が関わるWebサービスでは基本です。とは言っても、内容に心当たりがあると一瞬でも正しいと思いがちです。

えきねっとの会員であれば尚更でしょう。私も会員でした。もう退会済みなのです。

今回もメールヘッダーを読み取りながら真贋を見極めていきます。

メールの内容を見てみよう

日頃より「えきねっと」をご利用いただきありがとうございます。

「えきねっと」は 2022 年 7 月 31 日(日)にサービスをリニューアルいたしました。これ に伴い、「えきねっと」利用規約・会員規約を変更し、最後にログインをした日より起算し て2年以上「えきねっと」のご利用(ログイン)が確認できない「えきねっと」アカウント は、自動的に退会処理させていただくことといたしました。なお、対象アカウントの自動退 会処理を、本規約に基づき、2022 年 8 月 01 日(月)より順次、実施させていただきます。

2年以上ログインしていないお客さまで、今後も「えきねっと」をご利用いただける場合 は、2022 年 8 月 08 日(月)よりも前に、一度ログイン操作をお願いいたします。

⇒ログインはこちら

https://www.eki-net.com/Personal/Top/Index

※えきねっとトップページ右上のログインボタンよりログインしてください。

なお、アカウントが退会処理された場合も、新たにアカウント登録(無料登録)していた だくことですぐに「えきねっと」をご利用いただくことができますので、今後もご愛顧いた だけますようよろしくお願いいたします。

フィッシング詐欺メール:えきねっと

先ず、えきねっとの正しいログインURLは次の通りです。
https://www.eki-net.com/Personal/member/wb/Login/Login

メールにあったリンクされているURLはhttps://puhanwwvqw1.top/でした。表示されているURLと異なっています。もうこれだけでアウトです。

内容の日本語としては明らかにおかしいところはありません。HTMLメールだからということもある、不自然な改行は目立ちます。(2行分空いている等)

2年以上ログインしていないなど、心当たりがあるので、そういうこともあるよなとは思います。また、句読点はほぼ合っています。

メールヘッダーを見てみよう

URLのリンク先が異なるだけでもうアウトではありますが、一応見てみます。

Senderがいきなり.cnドメインの中国です。多くの会社が中国のサーバーを使っているんですね?? そんなことあるかい!

Sender: useraccountd-account-update@ukfmus517.cn

色んなサーバーを経由しているので、一番下にある最後のReceivedを見てみます。またチャイナ!

Received: from mail.zbniubiu.cn (unknown [180.100.199.110]) by 〜(省略)

IPアドレスは中華人民共和国江蘇省南京市にある組織だそうです。所持しているWebサイトのアドレスはns.chinanet.cn.netとあります。

ちなみに中華人民共和国は「People’s Republic of China」ですから、略してP.R.China.と書きます。

実はOCNプロバイダーのメールアドレスに届いたメールです。もう退会しているハズですが、メールアドレスだけ残っている様子です。退会してしまったのでメールアドレスを解約できない。

経由してくるドメインにocn.ad.jpがあったので、契約すると無料で自動的に付いてくるメールアドレス機能の1つですね。このOCNのメール転送機能に、当時登録したたメールアドレスを保持していることで、未だに受信(転送)して読める状態です。鶏が先か卵が先かで、もう解約もできない状態なのです。

また、From:やとReturn-Path:と同じ意味のenvelope-fromが記載されていて、やはり中国です。しかも、ocn.ad.jpのサブドメインでspf(証明)がパスされています。これ、わざとなのか穴なのか訳が分かりません。

~ (省略)envelope-from=<useraccountd-account-update@ukfmus517.cn>; helo=mail.zbniubiu.cn;
Authentication-Results: ocn-fc-mtr-108c2.ocn.ad.jp; spf=pass

送信するサーバーを指定していないから、こういうことが起きるのですね。ザルだ。

このメールはとにかく何カ所も経由されているのが特徴的でした。

スパムメールを送る輩としては、こういった穴というか送信できてしまう場所を経由してやってくるということでしょう。これ、OCNがきちんと設定したら、この経由では来ないということです。やっぱザルだ。

nslookupコマンドでアドレスを叩けば色々と分かりますよ。

ということで、やっぱり、中国でした。

他の迷惑メールたち

ここまで多いともうギャグですよね。