嫌と言うほど見てきた件名 この件名のメール、毎日と言って良いほど届き今までに何度かご紹介していますが 今回届いたものでちょっと気になる点があったので改めてご紹介させてください。 (見難いのでクリックし拡大してご覧ください) このくだり、日本語おかしいでしょ? まず真っ先に気になるのは「Аmazon お客様 」って宛名。 普通はこんな書き方しませんよね? それによく見れば ”A” だけ全角だし…(笑) 「親愛なるおいただいたお客様に」 何を「いただいた」のでしょうか? さっぱり意味が分かりません…(汗) そして「いつもお世话になっております」って漢字が変じゃん(笑) このメールで一番気になるのはここじゃなくて他にあります。 それがここ。 最初は気付かなかったですが、ここに隠し文字でメールアドレスが書かれていました。 「test-etqp3ti2e@srv1.mail-tester.com」 この隠されたメールアドレスにはどのような意味があるのでしょうか? 私には分かりません… このドメイン”srv1.mail-tester.com”について調べてみましたが、現在はどのIPアドレスにも 割り当てられていない休止中のドメインで、持ち主はフランスのIT企業でした。 やはり出てくるのは「C国」 では、メールのプロパティーから確認していきます。 件名は 「[spam] Amazonプライムの自動更新設定を解除いたしました!」 目が腐るほど見てきたこの件名(汗) 今回は、信憑性を高める目的と思われる通し番号がこの後ろに付けられています。 ”[spam]”とスタンプが付けられているのでもちろん迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは 全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”Amazon.co.jp” <account-update@amazon.co.jp>」 ”amazon.co.jp”はアマゾンの正規ドメインですが、”[spam]”が示すようにこのメールは 詐欺メールなのでアドレス偽装です。 では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<amazonc-cc-jppp@bu39g.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 ”.cn”なので中国のトップレベルドメインが使われていますね。 | Message-ID:「<041D57FAE48B9E4ACABFBFFD9FF47835@bhligrqee>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from bhligrqee (unknown [42.239.159.221])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう! 表示された地図は「中華人民共和国 河南省 ラク河市」 あくまでおおよそですが、ここに設置されているからあの見慣れた件名のメールを送って きたのですね。 ドメイン「.xyz」にはくれぐれもご注意を! ではメールの本文に目を移します。 Аmazon お客様 test-etqp3ti2e@srv1.mail-tester.com親愛なるおいただいたお客様に、いつもお世话になっております Аmazon アカウントの情報更新をお届けします。 残念ながら、Аmazon のアカウントを更新できませんでした。 今回は、カードが期限切れになってるか、請求先住所が変更されたなど、 さまざまな理由でカードの情報を更新できませんでした。 アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため Аmazon アカウントの 情報を確認する必要があります。 下からアカウントをログインし、情報を更新してください。 Аmazon ログイン 24時間以内にご確認いただけない場合は、ご不便をおかけして申し訳ございません。 アカウントのセキュリティ保護のため、 | 全文を貼り付けてみました。 見事にすべての「Аmazon」の”A”だけ全角でした(笑) そして最後の行が中途半端に切れちゃっています…この後が気になるんですが…(笑) この文章の中で「Аmazon ログイン」と書かれている所に詐欺サイトへのリンクが 付けられています。 そのリンク先のURLがこちらです。 使われているドメインは”amaonc.shgtr2er.xyz” この”xyz”ってドメインは要注意です! 全部が全部と言うわけではありませんが、このドメインは格安で取得できるので 比較的簡単に使い捨てが可能。 そのため犯罪によく使われるドメインとして知られています。 では、このドメインはどのような人物の持ち物なのでしょうか? 「アメリカ・アリゾナ州・フェニックス」からの申請で、うちのサイトのご常連でした。(笑) そして割当てているIPアドレス”155.94.133.225”を用いてその割り当て地と危険性調べると このような結果となりました。 この地図は、おおよその位置ですがこれによると、アメリカのロスアンゼルスが表示さてれて います。 そしてこのIPアドレスの危険性は「高」。 攻撃対象は「ウェブでのサイバーアタックの攻撃元」とされていますのでとても危険な香りが します。(汗) その危険とされるリンク先は、アマゾンの偽サイトでした。 まとめ まあこのようなおかしなメールは誰も騙せやしないとは思いますが、詐欺サイトの危険度も 高そうなので一応要注意といった感じでしょうか。 アマゾンからでメールドメインもアマゾンのものだと言って安心しない事! 詐欺メールには偽装はつきものなのでご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |