『詐欺メール』Amazonから『からセキュリティコードをお送りします』と、来た件

★フィッシング詐欺解体新書★

あなたはだれ？

何ともおかしな件名のメールがAmazonらしきところから届きました。
そのメールがこちらです。

『からセキュリティコードをお送りします』ってどうよ…(;^_^A
差出人のメールアドレスもどこから来たのか全く不明だし。
ドメインが”.cn”でアカウント名に”admin”とあるので、中国のどこかの管理者からだってのはかろうじて
分かりますが…

本文を見ると、Amazonのバナーがあり、末尾に『Amazonまたのご利用をお待ちしております』と
書いてあるのでやっとこのメールの差出人がAmazonであることが分かりました。(笑)

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『[spam] からセキュリティコードをお送りします』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『2段階認証 <admin@srmil.cn>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

件名と差出人でから想像して分かることは、セキュリティコードが送られてきていることと
中国で2段階認証を管理している差出人からであること。(笑)

送信サーバーは『天安門広場』東側付近にあり

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

この”Received”に記載のIPアドレスは差出人が利用したメールサーバーに割当てられたもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”srmil.cn”が差出人本人のものなのかどうかを
調べてみます。

これがドメイン”srmil.cn”の登録情報です。
まず、ドメインを割当てているIPアドレスと”Received”のIPアドレスが全く同じ数字なので
このメールアドレスは差出人ご本人さんのもので間違いなさそうです。

そしてこのドメインの管理者は”Registrant”欄から推測するに貿易を生業とする企業で
更にその国と地域は中国ということになります。

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

代表地点としてピンが立てられたのは、中国北京にある天安門広場東側付近です。
それにしても久しぶりですね、この地図。
以前はここにたくさんの詐欺メール発信基地がありましたが、最近はロシアのサンクトペテルブルクに
その座を奪われていました。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

送信に利用されたのは、中国の『Huawei Cloud Service data center』と言うプロバイダーです。

詐欺サイトは『杉並区和泉2丁目公園』付近で運営中

では引き続き本文。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『2段階認証を有効にする』って書かれたところに付けられていて、
そのリンク先はGoogleの『透明性レポート』のサイトステータスはこのようにレポートされていました。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは、サブドメインを含め”amzsafty-account0054122.pplkij.com”
このドメインにまつわる情報を取得してみます。

このドメインを割当てているIPアドレスは”47.74.58.149”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているホスティングサービスは、中国の『Alibaba.com LLC』

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
今度ピンが立てられたのはなんと国内の『杉並区和泉2丁目公園』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

本物そっくりのログインページが開きました。
もちろん間違ってもログインしてはいけませんよ！

気持ち悪いワードサラダが付いていました！

よく見るとこのメール、裏に何か隠されている気がします。
では、このメールの表示方法をHTML形式からプレーンテキスト形式に切り替えてみます。

すると、なんだかおかしな文字や記号がちりばめた本文が表示されました。

ぼかしの入れてある部分には私のメールアドレスにあるアカウント部分が入れられていました。
HTMLには無かった文字などがあぶり出したように浮かび上がっていますね。
これは、単なるお遊びやおまじないではなく『ワードサラダ』と呼ばれる技法。
メールの受信サーバーに備えられた悪意のあるメールを仕分けするスパムフィルターと呼ばれる
セキュリティを通過させることを目的として付加された記号や文字です。
でも、このメールの件名を見てわかる通り、見出しに『[spam]』と付けられているので
その企みがうちの受信サーバーでは実ることはなかったようです。(笑)

まとめ

この件名と差出人名で騙されるとしたらよっぽど注意力の無い方だと思いますよ！(笑)
Amazonを騙るメールはあまりにも多すぎるので、Amazonからのメールは注文確認以外は
無視を決め込みましょう！

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;