HELOも、偽装できたんだ・・・

気になったので、検索しまくって、これを見つけた。

メールの仕組み(SMTP) – Geekなぺーじ
(http://www.geekpage.jp/technology/ip-base/mail-2.php)

そしたら、こんな記述を見つけた。

SMTPでは、まず最初に挨拶をしないといけません。 挨拶は「HELO」を利用して行います。 英語で「こんにちは」は「HELLO」ですが、SMTPの命令は「L」が一つ少ないので注意してください。 HELOメッセージでは、自分のホスト名を名乗ります。 大抵はホスト名を適当に名乗っても大丈夫だったりします。

まじかよ・・・結構真面目に、実際にリスポンスを受け取るURLを書くのかと思ってた。違ったんだ。勉強不足orz
まともに、プロトコルの規格文書、読んでねぇし、そういや、心電図も脳波も、相当にフィーリングでこなしてたから、反省することしきり。(フラッシュバックが半端ない。ちょっとでも昔のことを思い出すと、消えて、なくなりたくなる・・・)ごめんなさい、これからは心を入れ替えて、全部丁寧に頭に入れてから口にします!

つまり、「楽天内部犯人説」はこれで否定された訳だけれども、だったら話は単純で、ベトナム国内にこの送信した犯人がいると、そういうことになる。

あ、えぇと、一つ前の記事の話題です。これ

楽天カードを語るスパム

楽天カードを語るスパム

さてと、東南アジアで、平壌に大使館を置いている、いわば「北朝鮮の友好国」は、と言えば、インドネシア、カンボジア、ラオス、ベトナム・・・と、こんなところだろうか。

逆の立場で言えば、北朝鮮の工作員にとって生活しやすい国で、日本との接点が濃い国と言えば、インドネシアかベトナム。他意はありませんが。(マレーシアは、1抜けか。)

昨夜から急激に増えたのは、Docomoのメールアドレスに入るようになったスパム。昨夜から、100通近くシマンテックとドコモに転送したが、まだ完全に遮断しきれていない。タイミングが面白いなぁ・・・。「同時多発」なんだけれども、あまりにもサイレントに進行しているから、あいつらのターゲットの納豆食い民族は全然気にしていないみたいで、カモですね。例のあれ、ナス頭デブから総攻撃指令が出たんかなぁ。

Docomoメールの犯人グループは、もう、10年近く前から同じ手口を繰り返している。それが、送信サーバ側の「迷惑メール作成システム」のコンテンツを入れ替えて、送信方法だけは10年前と同じやり方で、ムキになって、まぁ、だいたい3ヶ月に一度くらい、ターゲットの名簿も更新しながら、[お名前ドットコム]にベッタリ依存して送信元を次から次へと取得して、迷惑メール送信に再起動をかけてるようだ。僕自身がデコイだから、それはよくわかる。あのDocomoメールの(さっきも届いた)迷惑メールの関係者グループ、ネット経由で見つけてたどり着いたのは全部日本人名だったけれども・・・

ただ、今回の「楽天」と「Docomo」のタイミングがあまりにも近すぎて、大元はどこなんだろうなぁ、なんて思うと、つい、ナスの天ぷらとか、麻婆ナスとか、シンプルなナス焼き(あ、俺、醤油一垂らしが好き)とか、あるいは、「ナスの滅多斬り!」とか、そういう秋茄子の味覚が脳裏をよぎる。

「ナスの滅多斬り/ブツ切り/微塵切り」なんて、今がシーズンでしょ?そういうの、今本気で食わせてくれるとこ、ないの?今しかないじゃない!
あ、メインディッシュは、横田の焼きそばで。あれ?えぇと、横手でしたっけか?どうでもいいですよね。

それにしても、鴨がなぁ。良いダシ汁が取れるって、ヨダレを垂らしながら(他に食うもんがなくて、舌舐めずりしているナスがいて、)あれ、ターゲットは楽天だけじゃないと思う。送信元のパクチー・チームは、パクチーを食っちゃった鴨が多ければ多いほど、勢いづいて、今度は楽天以外にも「商機」を見つけて仕掛けてくる気がする。

「スピード感を持って」っていうのは、猛毒を持つフグの産地のあの人も、オバ Qって言ったらラーメンのあの人も、二人とも口にしている言葉だけれども、スピード「感」ってなんだよ、と思う。「目眩し」って意味ですよね。何とかする「具体策」を口にしろ、と思う。ナスが鴨を、いいように、食ってる。
「通常兵器」なんて、世界的な世論では反感を招くだけ。普通にヒトとして生活していて、殺されるなんて、嬉しいか?ってな話だと思う。ましてや、核武装なんて論外だと、僕は思ってる。って、何の話でしたっけか?

僕が楽天メールを受け取ったのは今日だけれども、10月12日から結構な頻度でばら撒かれているらしい。

楽天カード株式会社を名乗るスパムメールが届いている模様。フィッシング詐欺か。10月12日報告相次ぐ(http://blog.livedoor.jp/ninji/archives/50901828.html)

無策か。これ、会社内でクリックしちゃった社員なんかがいたら、結構な損害賠償が発生すると思うな。国民の総力戦だと僕は思う。どこの会社から、いくら奪い取れるかってな算段をしているナス。危機感がないところは、カモでイイんだろうかなぁ。横手の焼きそばが冷めちゃって、冷たくなって固くなっちゃう。

うちは、無縁だからどーでもいいけど。

楽天カードを語るスパム

日中、下記のようなメールが入った。

スクリーンショット 2017-10-18 19.44.07

携帯で確認して、後で「誤請求です」と返信しようと思ってた。その理由は、請求先の口座。「大阪信用金庫」なんて口座持ってないし、だいたい29,770円なんて・・・。口座が違ってるから、引き落とされたって関係ないとは思っていたんだが、メールの詳細を見てみて驚いた。スパムだ。しかも実際に楽天のメールサーバから送られているの?ヘッダの記録は下記の通り。

Received: from [118.69.37.240] (unknown [118.69.37.240])
by 内緒.net (Postfix) with ESMTP id 575899C0411
for <内緒>; Wed, 18 Oct 2017 11:22:10 +0900 (JST)
Received: from [] (helo=mail.rakuten-card.co.jp)
by  with esmtpa (Exim 4.69) id 1MMIU5-7373hs-RE
for <内緒>; Wed, 18 Oct 2017 09:19:24 +0700

よくわからないんだが、HELOコマンドを送るのに、そこを偽装するってできるの?名乗ってるだけ?巧妙だ。一応、日本データ通信協会に「添付ファイルで転送」したので、あとはプロにお任せしますが・・・通報先は、ここ
↓↓↓↓
情報提供のお願い
(このリンクはスパムじゃないです。私を信じて欲しいな。お前なんか信じられるか、ってそんなことおっしゃらずに・・・)

rakuten-card.co.jpは、本物の楽天のURLらしいから、私には???
こんなの名乗れるのか?

ちなみに、118.69.37.240はベトナム。
FPT Telecom Company(domainbigdata.com/118.69.37.240)

このメールに埋め込まれたリンクは、「詳しくはこちら」「WEB明細サービスに関するお知らせはこちら」「【手続きカンタン】今すぐ後リボへ変更!!」などなど、あれこれ埋め込まれているけれども、全部同じところにリンクが貼ってある。リンク先はアメリカ人が取得したドメイン名で、おそらくはレンタルサーバだと思う。あまりにも危険なので、そのリンク先は公開しませんが・・・っていうか、僕もそこに接続する勇気はない。(ここから先は、プロにお任せします。)クリックなんかしたら、何が起きるかわかったもんじゃない。

つまり、ベトナムの通信会社にアカウントを作って、そこを経由してメールを送りつけ、リンクをクリックするとアメリカにあるサーバでPCにウイルスを仕込むとか何とかして、っていうスパムだと推測している。そうなんだけれども、HELO=mail.rakuten-card.co.jpっていうこれ
Received: from [] (helo=mail.rakuten-card.co.jp)
by  with esmtpa (Exim 4.69) id 1MMIU5-7373hs-RE
for <内緒>; Wed, 18 Oct 2017 09:19:24 +0700
が、ものすごく気になる。こんなことができるの?タイムスタンプの時差が+0700だから、ベトナム時間に設定されたコンピュータからの送信か?

どうも、いま一つSMTPの仕組みがわかっていない、ってことが自分でもわかった。いや、可能性として、楽天の「社内LAN」がVPNか何かでベトナムにも繋がっていて、そこで「楽天内部の人間」がこのスパム拡散に一役買っている、としたら、このhelo=…も(私の理解では)納得できるんだが・・・。

もっと勉強しないと・・・、っていうか、こんなことに知恵を使う必要あるのか?ってな疑問も、すっごくある。もう通報したから、この件は忘れます。ご参考まで。