件名文字化けしてるし もう950本目の詐欺メール関連のブログエントリー。
カウントアップが最近異常に早いと思うのですが、これはッシング詐欺メールの数に比例してのこと。
嬉しいような悲しいような、これじゃ先が思いやられますね。(;^_^A さて、今朝はまずこの件名が文字化けしてしまったAmazonに成りすますフィッシング詐欺メールの
ご紹介です。 
では、このメールもプロパティーから見ていきましょう。 件名は
「[spam] Amazon.co.jp アカウント所有�権の証明(名前、その他個人情報)の確認」
「有�権」の「�」には何が書かれているのでしょうか?
本来なら「所有権」なので、普通に考えればここに文字はないはず。
何が書かれているのか非常に気になりますね。 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「Amazon <qssvwd@wrrij.com>」
誰?”wrrij.com”っての?
「Amazon」さんには、れっきとした”amazon.co.jp”ってドメインをお持ちです。
それなのにこんなトップレベルドメインを使ったメールアドレスで大切なユーザーに
メールを送るなんて普通に考えたらおかしいですよ。(汗)
その辺りを含め、次項で考察していきましょう!
空いてるドメインでどうやってメールを? では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「<qssvwd@wrrij.com>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「<20220418180806503237@wrrij.com>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from wrrij.com (unknown [175.148.99.70])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | まずは、”wrrij.com”について情報を取得してみます。
このドメインを割当てているIPアドレスが”Received”に記載されているものと同じなら
差出人のメールアドレスだと認めますが、そうでない場合、特定電子メール法違反となり
処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰するほか、法人に対して3000万円以下の罰金
さて、どう出るのでしょうか? 
「対応するIPアドレスがありません」って書かれています。
下の行にも「No match for “WRRIJ.COM”.」とあるので、このドメインはどうやら使われていないものかも。
今度は、お名前ドットコムさんで”wrrij.com”が取得可能か調べてみました。 
「ご希望のドメインが空いています!」だって(笑)
空きのドメインでどうやってメールを送るんでしょうね~(笑) ってわけで、このメールアドレスはガッツリ偽装されていましたね。
しっかり罪を償っていただきましょう! ”Received”のIPアドレス”175.148.99.70”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。 
ピンが立てられたのは、「中国遼寧省本渓市(りょうねいしょうほんけいし)」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
「安全」って、やばっ! では引き続き本文。 様からお届けしたギフト券が未だアカウントに登録されていません。
お買い物する前に登録する事をおすすめします。 | めちゃ短い本文です。
「様からお届けしたギフト券」と書かれていますが、これじゃ誰からのか分かりません(笑)
これでマジに騙しに来ているとすれば正気じゃないですね? このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「アカウントに登録する」って書かれたところに張られていて、リンク先の
URLがこちらです。 
このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。 
なんですと!「安全」って…ウソでしょ?…(汗)
って事は、リンクに接続してもウイルスバスターは遮断しないってこと?(-_-;)
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。 このURLで使われているドメインは、サブドメインを含め”www.myworldfitness.com”
このドメインにまつわる情報を取得してみます。 
持ち主は、中国福建省の方だそうです。 このドメインを割当てているIPアドレスは”52.128.227.218”
このIPアドレスを元にその割り当て地を確認してみます。 
ピンが立てられのは「香港西貢市将軍澳(しょうぐんおう)」付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。 
やはり、セキュリティアプリにブロックされることなく無防備に開いたのはアマゾンのログインページ。
もちろん詐欺サイトですから、絶対にログインしたりしないでください。
本当にこの状態で放置されていてはとても危険です!
一刻も早く記念なサイトとしての評価に変更してほしいものです。
まとめ まず、件名の文字化けで「おかしいな?」って気づきますよね?
次にAmazonには関連の無いメールアドレスが使われていること。
そして、「様からお届けしたギフト券」と不自然に始まる本文。
これで詐欺メールだと分からなければ、騙される方にも非があるとしか言えませんよ!
とにかく危険なメールが多すぎますのでご用心ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 