また楽天にやられた

15日に出先で立ち寄ったサークルK。
その会計中に「ポイントカードはお持ちですか?」と言われたので、「どのカード?」と答えると楽天ポイントカードの案内を見せてくれました。
「既に会員だから持ってるカードではだめなの?」と持っているカードを見せたけれど、それとは別のカードと説明された。
既に楽天の会員でも+Kのカードを楽天のIDへ追加登録するだけで、既存の楽天のポイントへ加算されるようになるってやつらしい。
Rポイントカード
楽天銀行を使っていた頃のポイントが結構貯まっているので、そのポイントが使えるなら・・・と言うことでカードを発行してもらい退店。

家に帰って登録を行おうとすると「メールアドレスが正しくない」と言うことで登録できず、サポートに連絡するとメールアドレスに記号が含まれているとダメだそう。
使っているメールアドレスを伝えると+がダメな要素らしい。
+の記号はRFC5321とRFC5322ってメールアドレスの規定で使ってもよい文字として定義されている物。

他のアドレスを使うように言われたが、楽天関係だからISPや携帯端末のメールアドレスは使いたくないw
なのでショップ関連用のGmailアドレスにエイリアスを使用したのに・・・

そのことを伝えると、実店舗に設置されているKステーションでメールアドレスなしで+K会員に登録できるとのことで、翌日登録することに。

で、翌日Kステーションで+K会員に登録しあとは楽天IDと紐付けするだけとなった。
帰宅後に楽天へログインしRポイントカードの利用登録をしようとすると・・・
Rポイントカード 利用登録

入力したRポイントカード番号は以下の可能性があります、ご確認のうえ、再度ご入力ください。
・すでに削除済みのRポイントカード番号
・実在しないRポイントカード番号
・他のユーザーが登録しているRポイントカード番号

続きを読む

フィッシングメールが増えてきたよー

最近はアダルトや不正B-CAS販売メールが来なくなったのだけれど、代わりに「三菱東京UFJ銀行」、「スクウェアエニックス」、「ハンゲーム」のフィッシィングメールが大幅に増えました。
送信元サーバーはどれもyahoo.co.jpの正規サーバーで、送信に使用されているアカウント名をyahooのサーバーへstmpコマンドを飛ばして存在する事を確認済。
正規サーバーを通っているのでDKIMシグネチャも正常でこっちのフィルターも通過してしまう・・・鬱陶しい。

yahoo japanへアビューズ報告しても対応はされない模様。
理由は、アビューズ報告して1ヶ月経ってから、yahooのサーバーへToコマンドを飛ばしても553 unknown user等のエラーが帰ってこないこと。

KDDIといいyahooといい本当にクソだ。
 
送り先のアドレスは・・・楽天系列で使った物ばかり。
残りはMK-STYLE。

私は使うサービスによってアカウント名とサブドメインを変えているので、どのサービスに使用したアドレスか一発でわかる。
例えば通販で使う物なら、「ショップ名+ランダム文字@shop.wolfs.jp」等を使用しているんです。

恐らく楽天側から漏れたか売ったんでしょうねー。
 
さて、各メールの特徴は
 ・html形式メール
 ・釣りの部分のみAエレメントタグで偽物のURLが仕込んである (下記メールは偽URLを削除済)
 ・日本語が不自由
 ・yahoo japanの正規サーバーから送信されている。

と言うことで、送られてきたメールを晒してみる。
続きを読む

Notify_user_ifilterとか

ふとログを見てみると2013/11/06~今日までにホスト名がrakuten.co.jpのユーザーからの404エラーのリクエストがありました。
14日にカテゴリーとタグの整理をしたので、カテゴリーとタグ関連で404エラーが出ているのは判るのですがそれではない。

リクエストURLは
 /accepted-Notify_user_ifilter?(Base64)
 /verify-Notify_user_ifilter?(Base64)
 /notify-Notify_user_ifilter?(Base64)
(Base64)の所は対象ページのURLをBase64でエンコードした値でした。

httpdとwordpressのログを追ってみると今年の2月からちらほらとありました。
念のためIPをAPNICへ照会して本物の楽天であることを確認。

202.7.107.76 ip076.rakuten.co.jp

% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
% Information related to '202.7.96.0 - 202.7.111.255'
inetnum: 202.7.96.0 - 202.7.111.255
netname: KVH
descr: KVH Telecom Co.,Ltd.
descr: Shiohama Bldg.
descr: 2-20 Shiohama, Kouto-ku, Tokyo 135-0043
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
status: ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints : abuse@kvh.ne.jp
mnt-by: MAINT-JPNIC
mnt-lower: MAINT-JPNIC
changed: hm-changed@apnic.net 20031016
changed: ip-apnic@nic.ad.jp 20100810
source: APNIC
role: Japan Network Information Center
address: Urbannet-Kanda Bldg 4F
address: 3-6-2 Uchi-Kanda
address: Chiyoda-ku, Tokyo 101-0047,Japan
country: JP
phone: +81-3-5297-2311
fax-no: +81-3-5297-2312
e-mail: hostmaster@nic.ad.jp
admin-c: JI13-AP
tech-c: JE53-AP
nic-hdl: JNIC1-AP
mnt-by: MAINT-JPNIC
changed: hm-changed@apnic.net 20041222
changed: hm-changed@apnic.net 20050324
changed: ip-apnic@nic.ad.jp 20051027
changed: ip-apnic@nic.ad.jp 20120828
source: APNIC
% Information related to '202.7.107.76 - 202.7.107.79'
inetnum: 202.7.107.76 - 202.7.107.79
netname: RAKUTEN-MIS
descr: Rakuten, Inc
country: JP
admin-c: KS21459JP
tech-c: NI5582JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp@nic.ad.jp 20101215
source: JPNIC
% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 (WHOIS1)

 
なんじゃこれは・・・と言うことで検索してみると以下のサイトがヒット。
notify-Notify_user_ifilter? - TERRAZI
どうやら楽天の社内フィルターのようで、

notify-Notify_user_ifilter?は監視で利用される事が多く、「楽天市場で詐欺にあった」「楽天の対応が悪い」など、楽天に対して不利益な事を書くと、監視の為にこのリファラーから楽天の中の人の訪問が多くなります。

と言うことらしいです。
 
通りで、楽天関係の記事にアクセスしているわけね・・w

上記サイトでは社内プロキシがそのURLにリダイレクトされているようです。
セキュリティソフトとかで「危険なサイト」とでて「危険を承知で閲覧する」ってリンクが出るようなヤツと仕組みは同じですね。
しかし、そのリダイレクト先のURLもこちらへリクエストが飛ばされているのでパケットをドロップできていないよう。
 
うちのブログは404エラーが発生した場合、全記事を検索し似た記事があればそちらにリダイレクトするようにしてあるので404エラーが発生した場合はコストかかります。
URLの打ち間違い、カテゴリーやタグの変更の場合はそれで良いのですが、相手の社内の都合でおかしなURLをリクエストされて案内をだすコストが惜しい。
なので/accepted-Notify_user_ifilter、/verify-Notify_user_ifilter、/notify-Notify_user_ifilterから始まるURLをブロックする事にしました。
 
暫く様子をみて続くようなら楽天管轄のIPを丸ごとブロックしてやろうと思います。
なんたって楽天だしどうでもいい。

楽天銀行 不正ログイン再び。

前回、楽天銀行のアカウントに不正ログインされたのですが・・
今日また不正ログインをされかけました。

気づいたきっかけは毎晩のメールチェック。

件名:【重要】楽天銀行からのご連絡

楽天銀行カスタマーセンターでございます。
平素は当行をご利用いただき、誠にありがとうございます。

今般、お客さまの口座への不正ログインの試みを
当行システムが検知いたしました。

ユーザID、ログインパスワード、暗証番号、合言葉については、
必ずご変更くださいますようお願い申し上げます。

ログインパスワードは、類推されやすいものや、他のサイトでお使いの
ものなどは避けて設定していただきますよう、よろしくお願い申し上げます。

お客さまの大切な預金をお守りするための措置ですので、
何卒お手続きいただきますよう宜しくお願い申し上げます。

ご不明な点がございましたら、お手数おかけしますがカスタマーセンターまで
お電話ください。

<楽天銀行カスタマセンター>
0120-77-6910 (通話料無料)
03-6832-2255 (携帯電話・PHSおよび海外からのご利用)

受付時間 9:00?17:00(年中無休)

※自動応答サービスにつきましては、「1#」→「6#」
振り込め詐欺、不正出金等の被害についてのご相談をご選択ください。

※すでにお電話にて行き違いがございましたら、何卒ご容赦くださいますようお願い申し上げます。

-----------------------------------------------
楽天銀行カスタマーセンター
ホームページ http://www.rakuten-bank.co.jp/

IDを変えたのにまた不正ログインですか・・・
 
そんな事をボヤいても仕方ないのでメールを調べる。

送信元を偽造したメールだとダメなので、メールヘッダーとサーバーログから送信元サーバーを調べる。
 211.128.106.122 ... mail01.rakuten-bank.co.jp
うん、本物くさい。

ただ、気になるところが1つ。
いつも楽天からくるメールはDKIM-Signatureで電子署名されているんだけれど、今回のメールにはそれがついていなかった。
送信サーバーは楽天銀行の物だけれど電子署名がないのが気になる。
 
とりあえず、前回同様に24時間受付の「不正ログイン、不正出金、振り込め詐欺被害等」の窓口へ連絡。

~~ってメールが届いてるのだけど、どうのようになっていますか?と伝えたところ、事実内容の確認をしてくれました。
 
結果は、「確かに不正ログインの形跡があった」と。
ログインは失敗に終わっているので口座の方はロックされていない状況。

前回入られた時にIDもパスワードも暗証番号も全部かえたのにもうばれてるじゃーん。
IDは長さもなにもかも違う物にしたのに・・・。
 
いろいろ聞きたいけれど、現状ログインもされていないので夜間窓口ではこれ以上のサポートはできないとの事だったので、
明日、楽天銀行から連絡を入れさせるようにして今日の連絡は終了。
 

主にネットゲーの課金用口座だし・・もう解約してもいいかなあー。
でもデビット+海外でも使用可って条件はそうないんだよなあーーーー

楽天からのスパムメール。

28日に楽天銀行へ不正ログインされ、29日に楽天ショップから携帯へのスパムメールが来た案件ですが・・
昨日、ドコモへ送信元の情報を提供を要請して返答を待ちました。

ドコモから帰ってきた返事は「サーバーのログ及び送信元の情報を提供することはできない」でした。

ケチー。

ですが、メール受信時にReceived等全てのヘッダー情報を受信できるメール設定があり、それを教えて貰って楽天からのメールを待つ事になりました。
 
しかし・・・昨日楽天に電話して暫く経ってから送られてくるメールの量が明らかに減ったんですよねー。
何かしたのかなー?
 
まあ送られてくるのを待って待って待って待って・・・・やっとキター!
ヘッダーの方は・・・

Authentication-Results: docomo.ne.jp from=e-ambiente@shop.rakuten.co.jp; sender-id/spf=pass
Received: from mrmailmob110-03zc.rakuten.co.jp ([202.72.55.155])
by mfsmax.docomo.ne.jp(DOCOMO Mail Server Ver2.0) with SMTP id 023c005b51991aa82492
for <???>; Thu, 30 May 2013 19:20:46 +0900 (JST)
Received: from rmailmob-vip01.db.rakuten.co.jp (bmctr105c.db.rakuten.co.jp [172.30.162.5])
by mrmailmob110-03zc.rakuten.co.jp (Rakuten MGw 1.3.2) with ESMTP id 64EE746BB0D
for <???@docomo.ne.jp>; Thu, 30 May 2013 19:20:46 +0900 (JST)
To: ???@docomo.ne.jp
MIME-Version: 1.0
Subject: =?ISO-2022-JP?B?GyRCJTkhPCVRITwbKEJTQUxFGyRCTT05cCF6JF0kQyQtJGo+JklKGyhC?=
From: =?ISO-2022-JP?B?GyRCJSIlcyVTJSglcyVGM1pFNztUPmxFORsoQiA=?=<e-ambiente@shop.rakuten.co.jp>
X-R-url: e-ambiente
Sender: 255356@rmailmf.rakuten.co.jp
Keywords: R-Mail
X-R-Mail_shop: =?ISO-2022-JP?B?GyRCJSIlcyVTJSglcyVGM1pFNztUPmxFORsoQg==?=
Content-Type: multipart/mixed;
boundary="=_4978b983d28b610e539fbc8d53811bd3"
Message-Id: <20130530102046.64EE746BB0D@mrmailmob110-03zc.rakuten.co.jp>
Date: Thu, 30 May 2013 19:20:46 +0900 (JST)

はい、どう見ても楽天正規のサーバーから来ています、ありがとうございました。
 
念のため送信元IPを照会してみる

% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 202.72.48.0 - 202.72.63.255
netname: Rakuten
descr: Rakuten,Inc.
descr: Shinagawa Seaside Rkuten Tower 4-12-3 Higashishinagawa, Shinagawa-ku,Tokyo 140-0002,Japan
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
status: ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints : abuse@mail.rakuten.com
mnt-irt: IRT-JPNIC-JP
mnt-by: MAINT-JPNIC
mnt-lower: MAINT-JPNIC
changed: hm-changed@apnic.net 20040809
changed: ip-apnic@nic.ad.jp 20090930
changed: ip-apnic@nic.ad.jp 20110421
source: APNIC
role: Japan Network Information Center
address: Urbannet-Kanda Bldg 4F
address: 3-6-2 Uchi-Kanda
address: Chiyoda-ku, Tokyo 101-0047,Japan
country: JP
phone: +81-3-5297-2311
fax-no: +81-3-5297-2312
e-mail: hostmaster@nic.ad.jp
admin-c: JI13-AP
tech-c: JE53-AP
nic-hdl: JNIC1-AP
mnt-by: MAINT-JPNIC
changed: hm-changed@apnic.net 20041222
changed: hm-changed@apnic.net 20050324
changed: ip-apnic@nic.ad.jp 20051027
changed: ip-apnic@nic.ad.jp 20120828
source: APNIC
inetnum: 202.72.48.0 - 202.72.63.255
netname: Rakuten-CIDR-BLK-JP
descr: Rakuten,Inc.
remarks: Email address for spam or abuse complaints : abuse@mail.rakuten.com
country: JP
admin-c: TK28763JP
tech-c: JP00074532
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp@nic.ad.jp 20040809
changed: apnic-ftp@nic.ad.jp 20120127
source: JPNIC

はいどう見ても楽天正規のサーb(r
 
 
と言うことで・・・
調べもせずに「発信源を偽装したメールの可能性がございます。」と言って逃げた楽天ですが、送信元は楽天正規のサーバーであることが証明されました。
やったね。
 
ニンマリしながら楽天へ電話したが繋がらず・・・用事もあるので後日に。
明日はどうしてくれようか。
 
2013/6/1 追記。
以上の事を電話で突きつけた結果、楽天側からメルマガを解除させる事に成功しました。
やったね!ヽ(´ー`)ノ