『詐欺メール』続報「【情報】 Amazon.co.jp：お客様のお支払い方法が承認されません」と、来た件

並べてみると集合体恐怖症にはヤバし

ここ最近、Amazonから「お客様のお支払い方法が承認されません」と言う件名のメールが
怒涛の如く流れてきます。(;^_^A
この件名で今までにもブログエントリーを書いたことがありますが、ここ最近あまりにも多く
目に余るものがあるので改めてご紹介しようと思います。

よく見ると、今月10日以降急激に増え、この10日間だけでも30通余りになっていますね。

わ～っ、(汗)　集合体恐怖症の私にはチトきついかも…(-_-;)

最近のは、末尾の17桁の通し番号も全く同じで本文の内容も全く同じ。
ただ、きっと偽装しているのでしょうが差出人のメールアドレスが全部バラバラ。
そんなにたくさんメールアドレス持てないもんね。

開封してみるとこのような内容になっています。

プライム会員の支払いが滞っているのでリンクから支払方法を更新しろと促す内容になっています。
この本文内容は、件名が違うメールでも何度か見たことがあるので使い回し。

では、このウザったいメールも解体し詳しく見ていきます。
まずはプロパティーから見ていきましょう。

件名は
「[spam] 【情報】 Amazon.co.jp：お客様のお支払い方法が承認されません #878-9432229-8829554」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
末尾の17桁にも及ぶ数字は、適当に付けられたもので、このメールに信憑性を持たせるためのもの。
でも逆に怪しさがあふれ出してしまっていると思うのは私だけでゃないはずです。(笑)

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「Amazon <umlvcnywu@ufuzc.com>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

今回ご紹介するのは”ufuzc.com”と言うドメインですが、他にも”.net”や”.org”を使ったものもあります。
当然「Amazon」さんには、”amazon.co.jp”って正規ドメインをお持ちです。
正規ドメインが有るのにそれ以外のこのようなでたらめなドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。

やっぱり空きドメインで偽装

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

この差出人は、あくまで自分のドメインは”ufuzc.com”と言い張るようですね。
ならばその鼻っ柱をへし折ってやりましょうか！

先に書いた通り”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”ufuzc.com”について調べてみます。

むむ…「対応するIPアドレスがありません」と…
「No match for “UFUZC.COM”.」と説明されていますから、もしかしてこのドメインは存在しまいかも。
早速真意を確かめるため「ムームードメイン」さんで取得可能なドメインかどうか検索してみます。

ほらやっぱり！
現在は空きドメインで1円で取得できるようです(笑)
そりゃそうですよね、あんなにたくさんのメールにそれぞれ別々のドメイン使えるはずがありません。
きっと全部偽装しているのでしょうね。。
この方にはしっかり罪を償っていただかなければなりませんね！

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”175.150.102.118”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられたのは、中国遼寧省本渓市付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

ドメインもIPもブラックリスト入りしてる

では引き続き本文。

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「支払方法を更新する」って書かれたところに張られていて、リンク先の
URLがこちらです。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「不正プログラム配信」と書かれています。

このURLで使われているドメインは、サブドメインを含め”www.aadesignmalta.com”
このドメインにまつわる情報を取得してみます。

このドメインは、国内の有名レジストラ「お名前.com」さんに依頼して取得されていますね。

このドメインを割当てているIPアドレスは”204.152.210.183”
このIPアドレスを元にその割り当て地を確認してみます。

おっと！その前に、このIPアドレスに対しても危険なものと言う認識がされているようで、
既にブラックリスト入りしてて、脅威の種類はウェブによるサイバーアタックとされています。

そしてピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーに程近い場所。
フィッシング詐欺サイトは、この付近に密集しています！
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

開くのは当然Amazonのログインページ。
もちろん偽サイトですから絶対にログインしないでください！

まとめ

しかしよくまああんなにたくさんのメールを送るものです。
同じ人間に大量に送信しても誰も騙されませんよ。
もしかして愉快犯かと思ってみたりしますが、トレンドマイクロの「サイトセーフティーセンター」でも
ブラックリスト入りしてるし、割り当てエチルIPアドレスもブラックリスト入りしてるんで
とても危険な香りがします。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;