ん?Appie(あっぴえ)って??週末は、なんだかんだあってブログ更新ができなかったので受信箱は詐欺メールで満杯(汗) この中から今回は、このメールにスポットを当ててご紹介しようと思います。 かなり突っ込みどころのあるこのメール。 まずはプロパティーから見ていきましょう。 件名は 「[spam] Appie: お客様のアカウントで異常な行為が検出されたため」 中途半端で終わる件名も気になるところですが、それ以前に”Appie”(あっぴえ)て誰? もしかして”Apple”の事? 本気で間違っているのか、それとも意図的なボケなのか知りませんが、このメールには ”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”Amazon.co.jp” <Amazon.co.jp>」 あれ?”Apple”でもないんだ…(^^ゞ って、もう本気で間違っていつのではなさそうですよこの差出人は。
危険なIPアドレスでは、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<Apple@Amazon.co.jp>」 ありゃりゃ、もう”Apple”と”Amazon”の両刀使いになっちゃいましたか…(笑) ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20220313123551351572@Amazon.co.jp>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from Amazon.co.jp (unknown [183.253.79.21])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
この差出人は”amazon.co.jp”と言い張るので”amazon.co.jp”を割当てているIPアドレスと ”Received”にあったIPアドレスを比較してみます。 まず、”amazon.co.jp”から 割当てているIPアドレスは”52.119.168.48”とされています。 ”Received”にあるIPアドレスと同じにならなければなりませんが、”Received”のIPアドレスは ”183.253.79.21”ですから全く異なりますのでこのメールアドレスは偽装されています。 ”Received”のIPアドレス使ってそのサーバーの位置情報を拾ってみます。 表示されたのは「中国 広東省 深セン 福田区 中心城」付近の地図。 脅威レベルは「高」とされそのカテゴリは「メールによるサイバーアタック」とされています。 危険性は既に周知されているようです。
結局Appleなんだ…では、突っ込みどころ満載の本文。 笑えるネタは注記しておきました。(笑)
件名は、こうなった結果を短く的確にした方が良いと思います。 理由を書こうとするから書ききれず中途半端になるんです。 フィッシング詐欺メールではよく見かける挨拶の「親愛なる」ですが、これ、英文のメール の書き始め”Dear”を直訳。 ですから、この文章の書き手は海外の方です。 そしてこれもフィッシング詐欺メールではよく見かけるのですが、[RECEIVER_NAME]は タグが露出したものと思われます。…詳しくは知りませんが…(^-^; その他色々ありますが、このメールの第一の目的は、詐欺サイトへのリンクを押させること。 そのリンク箇所は「Apple ID:セキュリティと AppleID」と書かれた部分にあって、その リンク先のURLはこちら。 “.xyz“は危険なサイン。 全てが危険と言うわけではありませんが、他のドメインと比較して危険なサイトが多いと 言われております。 まずはこのサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で 確認してみました。 結果はこちら。 やはり既に危険なサイトとして認識されていました。 このURLで使われているドメインは”wsaoi.xyz” このドメインの情報も拾ってみます。 持ち主は、アメリカアリゾナ州にあるご常連企業。 残念ながら割当てているIPアドレスは取得できませんでした。 それもそのはず、このリンク先サイトは既に閉鎖されていました。
まとめそれにしてもこのメールは、本気で間違えているのかそれとも愉快犯なのか判断が難しい ですね。 ま、詐欺サイトは既に閉鎖していたので一安心です。 このメールを書いている最中にも何通かフィッシング詐欺メールが届いています。 このところ非常に大きなっていますので十分にご用心ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |