楽天からのスパムメール。

28日に楽天銀行へ不正ログインされ、29日に楽天ショップから携帯へのスパムメールが来た案件ですが・・
昨日、ドコモへ送信元の情報を提供を要請して返答を待ちました。

ドコモから帰ってきた返事は「サーバーのログ及び送信元の情報を提供することはできない」でした。

ケチー。

ですが、メール受信時にReceived等全てのヘッダー情報を受信できるメール設定があり、それを教えて貰って楽天からのメールを待つ事になりました。
 
しかし・・・昨日楽天に電話して暫く経ってから送られてくるメールの量が明らかに減ったんですよねー。
何かしたのかなー?
 
まあ送られてくるのを待って待って待って待って・・・・やっとキター!
ヘッダーの方は・・・

Authentication-Results: docomo.ne.jp from=e-ambiente@shop.rakuten.co.jp; sender-id/spf=pass
Received: from mrmailmob110-03zc.rakuten.co.jp ([202.72.55.155])
by mfsmax.docomo.ne.jp(DOCOMO Mail Server Ver2.0) with SMTP id 023c005b51991aa82492
for <???>; Thu, 30 May 2013 19:20:46 +0900 (JST)
Received: from rmailmob-vip01.db.rakuten.co.jp (bmctr105c.db.rakuten.co.jp [172.30.162.5])
by mrmailmob110-03zc.rakuten.co.jp (Rakuten MGw 1.3.2) with ESMTP id 64EE746BB0D
for <???@docomo.ne.jp>; Thu, 30 May 2013 19:20:46 +0900 (JST)
To: ???@docomo.ne.jp
MIME-Version: 1.0
Subject: =?ISO-2022-JP?B?GyRCJTkhPCVRITwbKEJTQUxFGyRCTT05cCF6JF0kQyQtJGo+JklKGyhC?=
From: =?ISO-2022-JP?B?GyRCJSIlcyVTJSglcyVGM1pFNztUPmxFORsoQiA=?=<e-ambiente@shop.rakuten.co.jp>
X-R-url: e-ambiente
Sender: 255356@rmailmf.rakuten.co.jp
Keywords: R-Mail
X-R-Mail_shop: =?ISO-2022-JP?B?GyRCJSIlcyVTJSglcyVGM1pFNztUPmxFORsoQg==?=
Content-Type: multipart/mixed;
boundary="=_4978b983d28b610e539fbc8d53811bd3"
Message-Id: <20130530102046.64EE746BB0D@mrmailmob110-03zc.rakuten.co.jp>
Date: Thu, 30 May 2013 19:20:46 +0900 (JST)

はい、どう見ても楽天正規のサーバーから来ています、ありがとうございました。
 
念のため送信元IPを照会してみる

% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 202.72.48.0 - 202.72.63.255
netname: Rakuten
descr: Rakuten,Inc.
descr: Shinagawa Seaside Rkuten Tower 4-12-3 Higashishinagawa, Shinagawa-ku,Tokyo 140-0002,Japan
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
status: ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints : abuse@mail.rakuten.com
mnt-irt: IRT-JPNIC-JP
mnt-by: MAINT-JPNIC
mnt-lower: MAINT-JPNIC
changed: hm-changed@apnic.net 20040809
changed: ip-apnic@nic.ad.jp 20090930
changed: ip-apnic@nic.ad.jp 20110421
source: APNIC
role: Japan Network Information Center
address: Urbannet-Kanda Bldg 4F
address: 3-6-2 Uchi-Kanda
address: Chiyoda-ku, Tokyo 101-0047,Japan
country: JP
phone: +81-3-5297-2311
fax-no: +81-3-5297-2312
e-mail: hostmaster@nic.ad.jp
admin-c: JI13-AP
tech-c: JE53-AP
nic-hdl: JNIC1-AP
mnt-by: MAINT-JPNIC
changed: hm-changed@apnic.net 20041222
changed: hm-changed@apnic.net 20050324
changed: ip-apnic@nic.ad.jp 20051027
changed: ip-apnic@nic.ad.jp 20120828
source: APNIC
inetnum: 202.72.48.0 - 202.72.63.255
netname: Rakuten-CIDR-BLK-JP
descr: Rakuten,Inc.
remarks: Email address for spam or abuse complaints : abuse@mail.rakuten.com
country: JP
admin-c: TK28763JP
tech-c: JP00074532
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp@nic.ad.jp 20040809
changed: apnic-ftp@nic.ad.jp 20120127
source: JPNIC

はいどう見ても楽天正規のサーb(r
 
 
と言うことで・・・
調べもせずに「発信源を偽装したメールの可能性がございます。」と言って逃げた楽天ですが、送信元は楽天正規のサーバーであることが証明されました。
やったね。
 
ニンマリしながら楽天へ電話したが繋がらず・・・用事もあるので後日に。
明日はどうしてくれようか。
 
2013/6/1 追記。
以上の事を電話で突きつけた結果、楽天側からメルマガを解除させる事に成功しました。
やったね!ヽ(´ー`)ノ

銀行に不正ログインされた その後。

前回の事件はもう解決した・・・・というより“させられた”のですが。。。

不正ログインされてからというもの、「楽天銀行のアカウント」に紐付けされていた「楽天のアカウント」に登録されている携帯メールアドレスに山ほどのスパムが送信されてくるようになりました。
スパムと言ってもどれも楽天内のショップからのメールで、どこも使用したことのないショップから。
 
ここ半年以上「楽天」へはログインしていないし、使用もしていないのでメルマガを指定したこともありません。
で、ショップのメルマガの一括解除ページにアクセスしてみたところ・・メルマガ登録数は0でした。
楽天ショップ - メルマガ

各メールの最後にはhttp://m.rakuten.co.jp/e-ambiente/news.html?scid=rm_??????とメール解除フォームが書かれており、ここにアクセスして手動解除する必要があるよう。
ドメインはフィッシング等のアドレスではなく正規の物。
 
しかしこの配信停止フォームに問題。
自分の所有するメールサーバーのドメインに存在しないメールアドレスを指定して配信停止を行ったところ・・・
なんと登録していないメールアドレスでも「...メルマガ配信は停止されました。」と表示される。
楽天ショップ - メルマガ停止1 楽天ショップ - メルマガ停止2
もう一つテストをと・・今は存在しないドメイン「rakuten-test.com」をメールサーバーにして停止申請してみたところ、これまた「...メルマガ配信は停止されました。」と表示されるw
 
楽天のサポートに連絡して「メルマガを全て一括解除し直ちに配信を停止しろ」と言ったところ、配信リストを調べて「登録中のメルマガはないと出ております」回答がきた。
「じゃあなんでメールが来ているんだ?」と言ったところ、「発信源を偽装したメールの可能性がございます。」と言うことでした。
しかしメールに記載されているURLはフィッシィングではなく本物の楽天のドメインなので、送信元を偽装する必要はないんじゃないかな・・・。

そしてもう一つ「メルマガ停止フォーム」の事を伝えたところ回答をはぐらかされました。
どうやらそう言う事らしい。
 
送信元が偽装されてるか確認したいところだけれど、携帯のメールなのでメールサーバーのログを確認する事もできないしメールのReceivedヘッダーも見ることができない。
(メールをmicroSDにコピーしたけれど、コピーしたデータは件名、送信元アドレス、本文情報のみでした。)
 
で、ドコモに「送信元サーバーがどこなのか調べてほしい」と電話したところ、「検討し後日連絡するとのこと。
これで送信元が楽天だったら思いっきり叩いてやる。
 
 
 
てか、IPアドレスやホスト名を隠す意味がわからないよね-。
公開情報なのに。

サクッと教えろよー。
 
スパムメールのその後はこちら

銀行に不正ログインされた。

夜メールチェックしてみると楽天銀行から1通のメールが届いてました。
 

件名:楽天銀行からのお知らせ[追加認証によるログインがありました]
xx様 (xx@xx.jp)

下記日時に、追加の本人認証によるログインがありました。

■ログイン日時
2013/05/28 xx:xx:xx

**********************************************************************
このメールは送信専用です。
ご不明点等は、当行WEBサイトよりお問い合わせください。

楽天銀行 http://www.rakuten-bank.co.jp/
**********************************************************************

(CC420)

なんの事かわからないし、その時間には家に居なかったしログインすらしていない。
 
これはIDとパスもっていかれたかな?と思いログインしてみると、ログイン履歴に自分以外の物を発見。
で、この「追加の本人認証」ってのはIDとパスを入力してログインしたときに、合言葉と生年月日で追加で本人を確認しログインするもの。

あれ・・?今確認でログインしたときはそんなの出なかったよ・・?
それに今まで「追加の本人認証」って物でログインした事なんてありゃしない。

しかも合言葉に限っては設定した自分ですら忘れているのに、華麗に正解してログインしているのだ。
 
これは・・・情報漏洩でもあったんじゃないかな、最近楽天からメールが沢山きていたしなあー
 ・「【楽天銀行】≪重要なお知らせ≫ワンタイム認証用メールアドレスの登録削除について」
 ・「【楽天銀行】≪重要なお知らせ≫不正ログイン対策のお願い」
 ・「【楽天銀行】≪重要なお知らせ≫携帯電話等のメールアドレス登録のお願いとID・パスワード設定の際のお願い」
 
 
まあメインバンクじゃなく、オンラインゲーに課金したり通販で何か買ったりする用なので、お金も入ってないので問題はないが・・「何勝手にログインしてんだよ・・うぜえ!」って事で・・・
夜間の緊急窓口に電話して不正ログインがあったことを報告すると「今から1時間以内に折り返し電話で連絡する」との事なので待つ。
 
そして20分程で折り返しの電話があり、不正ログインされた時の状況や普段どこからログインしているか、ネットカフェ等でログインしてないか?等々多数の質問をうけました。
該当する項目は皆無でした。
 
そして、ID、パスワード、暗証番号、ワンタイムの設定を変更してくれとの指示。
 
その後は、不正ログインされやすい状況や設定等の講習っぽい物があり、それに相槌をうちつつ冗談を交えて楽しく会話しましたw
相手にとっては冗談はメンドウクサイだろうけれど、ちゃんと乗ってくれたりしたので面白かったなあー・・w
 
最後に、楽天銀行から「不正ログインされた事を証明する文書を発行してくれ」と言った所、そのような物は「一切発行しない」と言われた。。。
一応、上に伝えて対処が必要だと判断した場合のみ警察に連絡をするとのこと。

それ以外でこちらから相手を釣り上げるには、最寄りの警察に届けを出す事だけそう。
 
これ無理じゃね、釣り上げられないじゃんー。
こっちはログインされて個人情報漏れてるのになあー。
 
その後はこちらから

スパム君

久しぶりにWordpressのログを見ていると「Attack」としてマークされていたログがあったので詳細をみてみると・・・
こんなURLをGETしてきました。

/20071123-280/ [PLM=0] GET https://blog.wolfs.jp/20071123-280/ [0,15811,49812] -> [N] POST https://blog.wolfs.jp/wp-comments-post.php [R=500][0,0,1544]

上記URLをGETした後にwp-comments-post.phpへPOSTしており、キャプチャログの方は失敗として記録されていました。

スパム君のBOTかツールとかが誤爆ってパラメーターとかそんなのがURLに入っちゃったのでしょう・・・w
それか新しいツールをテスト中なのかな・・・?
 
ネットワーク機器の方でパケットをドロップしてやっても良かったのだけれど・・・
面白くないのと、悪戯してやろうと思ってPHP側でブロックしてメッセージを表示するようにしてやろう!・・と言うことで。。

早速データベースにブラックリストのテーブルを作成。
スパムブロック用のテーブルを作成
IPアドレスは今後何かに使うことも考えて、単体、サイダー指定、開始・終了指定ができるようにと、リクエストメソッドで絞ることもできるようにしてみる。
 
フィルタリングはwp-config.phpがロードされたタイミングで行い、コメント処理等が行われないようにする。

チナミニ、今回イタズラを仕掛けるのは・・今日平仮名ではない文字でキャプチャ失敗したスパム君達。
 [RU] 46.161.41.0/24
 [FR] 88.190.58.0/24
 [UA] 91.231.40.0/22
 [DE] 91.232.96.0/23
 [MD] 95.65.0.0/17
 [FR] 176.31.0.0/16
 [UA] 192.162.19.0/24
 [UA] 193.105.210.0/24
 [US] 198.2.204.72/29
 [US] 199.15.232.0/21
 
あとはログを取って様子見。
 
飽きたらネットワーク機器でドロップして終了かなー・・w

Selectable Paintings v1.1.0公開!

色々調整したβ6を、6Worldサーバーの方で3日テストした結果バグは見つからない感じでしたので正式版として公開しました。
 
と言うことで、v1.0.12からv1.1.0への更新内容。
 ・絵画の明るさを変更できる「ブライトネス」機能を追加。
 ・自由に絵画の大きさや種類を追加できる「カスタムパレット」機能を追加。
 ・設定とテクスチャ同期機能を追加。
 ・設定項目名を整理・変更し説明を追加。
 ・間違ったパレット名を指定するとクラッシュする問題を修正。
 ・額縁無しモードで稀に黒くなる問題を修正。
 ・透過テクスチャを使用しており裏面テクスチャの部分を透過していない場合、絵画を横から見ると筋が表示される問題を修正。
 
目玉はカスタムパレット機能ですねー。

カスタムパレットはプレイヤーが自由な大きさの絵画をテクスチャのスペースが許す限り追加できるパレットです。
1x1の絵画のみの場合、1パレットで1020種類追加する事ができます。
Minecraft MOD - Selectable Paintings - カスタムパレット
このSSの場合は6x6、13x6、5x6サイズの絵画を追加してみました。
 
次はの目玉は絵画の明るさを設定できる「ブライトネス」機能。
Minecraft MOD - Selectable Paintings - ブライトネス
普通は設置したブロックの明るさを獲得して自動計算されるのですが、このオプションで指定するとそのブライトネスに固定されます。
看板のような絵画を作ると夜とかはかなり雰囲気がでます(`・ω・)b
チナミニ、光源は発生しません。
 
ダウンロードは非公式フォーラムからどうぞ