レイバンやオークリーを騙るスパムメールの傾向と対策
※この記事で書いていることは Windows パソコン限定の内容です。
その他の OS には当てはまりませんので読まないでください。
「レイバンのサングラス,80%の割引,今日限り特価2399円!」
こんなタイトルのスパムメールよく着ますよね。
なので、傾向と対策を書いてみます。
オークリー サングラス 今日限り活動特価2499円
男性用・女性用サングラス、オークリー (Oakley)・今日限り活動特価2499円
サングラス、ゴーグル、オークリー (Oakley)今日限り活動特価2499円
(Oakley)・オークリー サングラス 今日限り活動特価2499円三つを買うなら、配達無料
オークリー ゴーグル今日限り特価2499円!三つを買うなら、配達無料
【強く推奨する】Oakleyのサングラス限り特価2499円!80%の割引
【良いニュース】Oakleyサングラス今日限り活動特価2499円!80%の割引
【ミス・ユー】Oakleyサングラス今日限り活動特価2499円!80%の割引顧客ID:774071
親愛なる!Oakleyのサングラス今日限り活動特価2499円!80%の割引
親愛なる!あなたは私の電子メールを受け取りましたか?
上記のようなタイトルのスパムメールも送り始めたようです。
発信元は相変わらずバイドゥのサーバー経由で、X-mailer も同じです。
文字列の並びを見ると似たようなツールを作って書き出してるんでしょうね。
# 2018 年 5 月 22 日から下のような感じの件名のフィッシングメールを送り出したみたい。
男の子Tシャツ・ガールズTシャツ今日限り活動特価2799円
メールヘッダーを見てみると、以下のような感じです。
※大事なとこだけ抜粋。
Received: from mail.amazon.co.jp ([182.61.30.196])
Received: from shipment-noreply@amazon.co.jp (127.0.0.1) by mail.amazon.co.jp
Date: Sun, 14 Jan 2018 13:06:27 +0800
From: "Amazon.co.jp"
Subject: 【残り18時間】レイバンのサングラス,80%の割引,今日限り特価2399円!
Message-ID: <20180114130640073565@amazon.co.jp>
X-Priority: 1 (Highest)
X-mailer: Foxmail 6, 13, 102, 15 [cn]
Mime-Version: 1.0
IP アドレスを調べてみると
182.61.30.196 → Beijing Baidu Netcom Science and Technology Co.
バイドゥのサーバから着てるのが分かります。
踏み台に利用されているという可能性もありますが、バイドゥならほぼないでしょう。
X-Priority: 1 (Highest)
「X-Priority」は共通ルールとして定義されている項目ではありません……が、多くのメールソフトが対応しています。
メールソフト次第ではありますが「X-Priority」の値に従って重要マークがついたり色が変わったりします。
http://wa3.i-3-i.info/word11107.html
重要である事を知らせることができる項目では有りますが、
基本的に重要度を設定している人なんて皆無でしょう。
重要なら、本文中にその旨を記述するだろうし、電話や LINE で連絡してきます。
X-mailer: Foxmail 6, 13, 102, 15 [cn]
「Foxmail」は、中国産のメーラーソフトのようです。[cn]も中国であることを示しています。
以上から、フィルタリングの仕方を考えてみます。
私は常駐でメールの削除ができるメールチェッカー『Spam Mail Killer』
https://www.hiskip.com/free/freesoft/security/2483.html
と有名なメールソフト Thunderbird を使っています。
Spam Mail Killerでの設定例
・「禁止リスト@件名を開く」をクリック
※【RayBan】という文字列がタイトルの頭に付いたのも届いたので追加しました。
※2018 年 3 月 13 日に
タイトルに「オークリー」と記述されたものも届き始めたので追記
– – – – この下から – – – –
レイバン
オークリー
サングラス
ゴーグル
活動特価
今日限り
【良いニュース】
【ミス・ユー】
【強く推奨する】
– – – – この上まで – – – –
を追記します。次に
・「禁止リスト@ヘッダー」をクリック
– – – – この下から – – – –
[182.61.30.
[182.61.25.
[180.76.184.
X-Priority: 1
Foxmail
– – – – この上まで – – – –
と追記して、それぞれのファイルを保存します。
182.61.30.196 としてないのは、
182.61.30.0 から 182.61.30.255 まではバイドゥの管理サーバーなので、
まとめて引っかかるようにしています。
※182.61.25. からも着たので追記
※180.76.184. からも着たので追記
Thunderbirdでの設定例
メニューの「ツール」から「メッセージフィルタ」を選択し「新規」ボタンをクリックします。
カスタムヘッダーとして、下の 3 個を追加します。
Received
X-Priority
X-mailer
カスタムヘッダーとして追加できたら、
「いずれかの条件に一致」を選択し上の 3 個を条件でフィルタリングの条件として指定します。
入力する値は、先ほどと同じです。
Received 行は 3 個作ります。
※他の複数の IP アドレスからも着たので 3 個要ります。
※Received でフィルタリングしなくても大丈夫だと思うので、面倒な方は作らなくても良いかな。
[182.61.30.
[182.61.25.
[180.76.184.
X-Priority には 1
X-mailer には、Foxmail
フィルタリング条件にタイトルも追加したいなら、下の 5 つを条件にそれぞれ追加します。
レイバン
オークリー
サングラス
RayBan
活動特価
フィルタリング条件に一致した際の動作は、「迷惑メール」として設定するで良いかな。
送信元IPアドレス一覧
# Hong Kong(香港)
159.138.1.66
# China(中国)
114.115.185.140
114.115.205.133