知恵生活の種

お得・役立つ知恵生活の種を取り上げます

スパムメールをたどってみた

IT スマートフォン

以前は、迷惑メール・スパムメールといえば、いかにもな文章のものばかりでしたが、最近は、ネット通販やカード会社の体裁で送られてきて、パッと見では間違えそうなものも増えました。
また、メールの送り元も様々なバリエーションがあるので、興味本位で簡単に調べられるレベルで、スパムメールをたどってみることにしました。

スパムメールの絵

スパムメールの確認

一番単純なスパムメールは、メールの差出人のアドレス(ドメイン)が、そのままメールを配信した人(業者)のメールアドレスになっているものです。
しかし、差出人のメールアドレスは、実際のアドレスと違うアドレスを設定する事もできるため、必ずしも差出人のアドレスとは限りません。
そこで、メールのヘッダー部分の、Receivedという項目の"from"という項目をたどっていくことで、メールを出したサーバのドメインを特定する方法があります。ドメインの所有者を特定することで、差出をした人(業者)が分かるかもしれません。
もう一つは、メールの中のリンク先が設定されている場合に、リンク先のドメインの所有者を特定する方法があります。差出をした人(業者)を特定することもできるかもしれません。

もし、本当に困っている人が対処のために読んでいると申し訳ないので、最初に結論を記載すると、メールの送信者も高度化しており、上の程度では差出人(業者)にたどり着くことはできませんでした。

メールアドレスから調べる

下のメールは、JCBカードを装って送られてきたスパムメールです。
差出人の項目を見ていただくと、どう考えても、JCBではないメールアドレスから送られていることが分かります。
さすがに、これだけあからさまだと、メーラーもスパムメールで有ることを認識するため、件名の前に[meiwaku]と記載しています。
.cnは、中国のドメインになるので、中国から送られてきたメールのようです。

 

メールアドレスから調べる

 

ドメインの保有者を特定する方法として、"whois"という検索サイトがあります。
ネットでwhoisと検索すると、日本のドメイン検索サイトは簡単に見つかりますが、他の国のドメインを検索するためには、それぞれの国の検索サイトを利用する必要があります。

上のIP広場というGeolocation Technology社が提供しているサイトには、様々な国の"whois"のページへのリンクが掲載されています。
中国のページを開いて、メールの@の後ろのドメイン(lqipwmt.cn)を検索してみると、以下がヒットしました。

中国のドメイン検索

社名等は、マスクしましたが、日本でも有名な中国企業の子会社のサーバレンタル会社がヒットしました。もちろん、その会社がスパムメールを送っているのではなく、この会社と契約をしている誰かがサーバを経由してスパムメールを送っているということになります。
これ以上たどるのは、難しいので、ここまでにします。

メールのヘッダーから調べる

以下のメールの差出人を見ると、アマゾンのアドレスのように見えますが、最初のmの部分がr(アール)とn(エヌ)を組み合わせてrnとすることで、mに見せています。
ちょっと頓智が聞いていて笑ってしまいました。(最後にsも付いてるのでアマゾンズ?)

armazonsのメール

日本の"whois"から、"arnazons.co.jp"のドメイン検索をしたところ、そのドメインはだれも契約していませんでした。
メールのヘッダーをたどっていくと、Receiveの項目に"from amaxonjapsnt.gq"と記載があります。メールは、amaxonjapsnt.gqのサーバから送られてきたようなので、サーバをたどってみることにします。
ところで、.gqって、何処の国だろうと思って調べてみたら、赤道ギニア共和国という国でした。
赤道ギニア共和国は、ナイジェリアの下にある国で四国の1.5倍くらいの広さで130人程度の国民の国だそうです。

赤道ギニア共和国の"whois"サイトで、検索をした結果が以下です。

赤道ギニアのwhois

持ち主の名前は表示されなかったため、どういった素性の人(業者)かわかりませんでしたが、オランダのアムステルダムの私書箱の住所で登録されていました。
こちらも、これ以上たどるのは難しいので、ここまでとしました。

リンク先から調べる

以下のメールは楽天を装ったメールです。
差出人を見ると、なぜかメルカリのアドレスになっていました。
メールのヘッダーをたどっていくと、レンタルサーバサービスを行っている会社のドメインにたどり着きました。こちらも、サーバ契約者がメールを送っているようです。

楽天を装ったメール

ところで、メールの中を見てみると、リンクボタンがありました。上の画像では、アドレスが切れてしまっていますが、"https://***.***.uosmcoua.com"(***は楽天をイメージする英語列)というアドレスが掲載されていました。
多分、フィッシングサイトにつながると思いますが、情報を拾われたくないので、リンク先へは行きませんでした。
uosmcoua.comの持ち主も調べてみたところ、以下がヒットしました。

uosmcoua.com

大阪の会社がヒットしましたが、調べてみたところ、こちらの会社もレンタルサーバサービスを提供する会社でした。
とはいえ、このメールに関しては、メールの送信元サーバもリンク先のサーバも日本の会社が運営しているサーバなので、実害がある人は、サーバ運営会社に情報開示請求をすることで、さらにたどることができるかもしれません。
私は実害はないので、ここまでとしました。

さいごに

今回はPCで調べたため、比較的安全に調べることができましたが、スマホだと少し心配です。
頻繁に利用している通販サイトや金融サービスからのメールには、より気をつけようと思いました。

さいごまで読んでくださりありがとうございました。

#迷惑メール #スパムメール #ドメイン

Hya-Kin 読者になる

スポンサーリンク

コメントを書く