下記のメールが届きました。
——-ここから—————————————————
From: “LINE” <info@crooz.jp>
To: <#———–#@sannet.ne.jp>
Subject: [LINE] ___}_蟾
Date: Tue, 30 Jan 2018 11:27:24 +0800
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
最近アカウントが盗まれる事件が多くあり、当社はお客__のアカウントの安全を__保するために、二段_Aパスワ_`ドの_O置いたしました。その_O置をよろしくお__い申し上げます。
こんにちは、このメ_`ルはLINEで自_铀托扭丹欷皮い蓼埂_
以下のURLをクリックし、二段_Aパスワ_`ドの_O置手_Aきにお_Mみください。
https://line.me/R/au/email/MB6EPnkh66mOBr3aPQUGbNQnAR2hSD1r/4460
────────────────
LINE
LINE Corporation
——-ここまで—————————————————
見ると、
1.サブジェクトや本文が文字化けしている。
2.送信元情報のFromの欄はLINEとなっているが、カッコの中はinfo@crooz.jpである。
そこで、crooz.jpが実在するのか?調べると、無料ブログサイトとして実在しているようである。
jpドメインなので日本のドメイン名の無料ブログサイトである。
そのため、メールに返信をすると、info.crooz.jp宛になるので、crooz.jpという無料ブログサイトのインフォメーション辺りに、メールが飛ぶのではないかと思われる。
<翌日追記ここから>
info.crooz.jpに返信が飛ぶんじゃないかと、書きましたが、改めてメールヘッダを見ていましたら、リターンパスが書いてありました。
Return-Path: <cnbmbal@dkl.com> です。
これがヘッダに書いてあるので、返信した場合は、cnbmbal@dkl.comに飛ぶようです。
dkl.comのcnbmbalさんと言うメールアドレスが実在する場合、この方に苦情メールが集中することになるのでしょう。
何らかの個人攻撃が仕組んであるのでしょうか?。
<翌日追記ここまで>
3.メールヘッダ詳細を見てみます。
※ちなみに私のアドレスは、#———–#で消させて貰ってますので、ご了承ください。
——-メールヘッダ詳細ここから———————————-
Return-Path: <cnbmbal@dkl.com>
X-Original-To: #———–#@sannet.ne.jp
Delivered-To: #———–#@sannet.ne.jp
Received: from dkl.com (unknown [42.51.33.200])
by recv3.sannet.ne.jp (SANNET Mail Server) with ESMTP id EA98E5E551
for <#———–#@sannet.ne.jp>; Tue, 30 Jan 2018 12:27:22 +0900 (JST)
Message-ID: <C3FC1B0F7D0D2497F977FE2F5F919806@dkl.com>
From: “LINE” <info@crooz.jp>
To: <#———–#@sannet.ne.jp>
Subject: =?gb2312?B?W0xJTkVdIIaW7n2I87jm?=
Date: Tue, 30 Jan 2018 11:27:24 +0800
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”—-=_NextPart_000_0A7D_0197C411.10F83110″
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512
This is a multi-part message in MIME format.
——-メールヘッダ詳細ここまで———————————-
さて、下記の
Received: from dkl.com (unknown [42.51.33.200])
をみると、私のメールアドレスがあるプロバイダーさんの、でっかいネットワークの一つに、メールが初めて入った時に、その受け渡し元のメールサーバーのアドレスがはいっていまして、42.51.33.200で、dkl.comというドメイン名から受信したと読めます。
このアドレスは?。何処のアドレス?と調べると、
HTU-NETという、中国のネット会社が保有するアドレス帯域でした。
HTU-NETと言うネット会社の持つIPアドレス帯域を使っているdkl.comという利用者のサーバーから私のメールアドレスがあるsannet.ne.jpのサーバーの一つに、メールが託されてきた。とメールヘッダからは読み取れると思います。これは、メールヘッダーが改ざんされていなくて信頼が出来る場合、そう読めるという事です。
ちなみに、dkl.comと言うドメイン名は実在するのか?と言う事で、調べると、実在していてデタラメではないようです。www.dkl.comを開くと、DataKinetics Limited でデータキネテクスと言う会社のようです。私に飛んできた変なメールに関連するのか全く不明なので、実在するドメイン名が書いてあったというだけの事ですが。
4.本文末尾のリンク先
パスワードチェックするのに、クリックしなさいと書いてあるリンク先。
https://line.me/R/au/email/MB6EPnkh66mOBr3aPQUGbNQnAR2hSD1r/4460
これは、表示された通りのリンク先ではなく、
実際のリンク先が裏に隠してあって、
http://www.linedi.cn/ に飛んでいく。
実際テスト環境から、ページを開いてみると、http://www.linedi.cn/が開いて
中国の、
「中国互联网络信息中心(中国インターネットネットワーク情報センター)」の
ホームページが普通に表示されるだけで、特段LINEのパスワード設定画面ではなかった。
えーと、つまりー。
変なメールの本文では、LINEのパスワードの頭に「_0」を、付け足したので、ご注意願いますと言う偽りの内容が書かかれてあったが、そのリンク先は、LINEとは関係もない中国の「中国インターネットネットワーク情報センター」のトップページにリンクが貼ってあるだけであり、フィッシング詐欺をしないホームページにリンクが張られていた。
本当にフィッシング詐欺を働こうとするメールではなくて、慌ててリンク先をクリックすると普通に何処かの会社のホームページが開くだけのメール。
結論から言うと、このへんなメールは、フィッシング詐欺メールになりすましたメールで、送信元も、リンク先もでたらめなメールだった様に思えます。
でも、まぁ、このメールは無害だったのですが、
よのなかでは、本物のヤバいメールが飛んでいるらしいので、注意は必要です。
LINEアカウントのパスワード関連に関しては、今回のメールは無害でしたが、下手に苦情を返信したりすると、もしかしたら、無関係なところに飛んでしまうかもしれない仕掛けがしてあったメールですから、トラブルに巻き込まれかねない、と言う意味では危険なメールだったと思います。