『詐欺メール』「【重要】確認情報を取得できませんでした、アカウントは48時間後に削除されます」と、来た件

タグ露出？！

「またAmazonかよ～」って声。聞こえてきそうですが、はい、そうですAmazonです。(-_-;)
だって多いんですもん、Amazonのフィッシング詐欺メールが…
そのメールがこちら。。。
どこかで見たことあるような気がしますが、初めての件名なので初見としてエントリーさせていただきます。

末尾の画像へのリンクが切れてて画像の名前が表示されちゃっていますね。
それも「右键点击切换位置」なんて中国語で…(-_-;)
訳してみたら「右クリックして位置を切り替えます」だってさ(笑)

皆さん気になる「所有権の証明」ってリンクボタンの上にあるくしゃくしゃの文字。
何が書いてあるかコピペしてみると。

私にはさっぱり分かりませんが、何かのタグのようですね。(汗)

では、このメールも解体して詳しく見ていきます。
まずはプロパティーから見ていきましょう。

件名は
「[spam] 【重要】確認情報を取得できませんでした、アカウントは48時間後に削除されます。AMAZONをご利用いただきありがとうございます。」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。

それにしてもクソ長い件名ですね。(;^_^A
「AMAZONをご利用いただきありがとうございます。」ってくだりは不要な気がしますが…

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「"Amazon.co.jp" <tuq@service.zjhuaweidz.cn>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

皆さんご承知の通り「Amazon」さんには、”amazon.co.jp”って正規ドメインをお持ちです。
正規ドメインが有るのにそれ以外のこのような中国のドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。
ま、”service.zjhuaweidz.cn”ってドメインも本当かどうだか…眉唾ものですよ。

このアドレスさえも偽装か？

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

先に書いた通り”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”service.zjhuaweidz.cn”について調べてみます。

”34.84.66.60”がこのドメインを割当てているIPアドレス。
本来同じでなけれならない”Received”のIPアドレスが”140.227.10.206”ですから全く異なります。
これでアドレス偽装は確定。
この方にはしっかり罪を償っていただかなければなりませんね！

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス””は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられたのは、「東京都千代田区内神田」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

よく見ると、この差出人が利用したプロバイダーは「NTT PC Communications」で
このIPアドレスには”service.zjhuaweidz.cn”ではなく”arena.ne.jp”と言うドメインが割当てられて
いるようです。

因みにこの”arena.ne.jp”の持ち主は、「WebARENA」さんで、NTTPCコミュニケーションズの提供する
データセンタサービスです。
きっとこの差出人はこちらのユーザーなのでしょうね。

知らぬ間にリダイレクトされて別サイトに？！

では引き続き本文。

突っ込みどころ満載の本文ですが、
大体宛名が「Amazon お客様」なんてあり得ません。
Amazonからなら受取人の氏名が宛名のはずです！

「以前に2通のメールを送信しましたが、確認情報を取得できませんでした」
なぜ2通？1通じゃダメなのでしょうか？(笑)
って言うか、そのメールの内容が知りたいです(笑)

そして「異常は更新待ちです」って、日本人使わない。(笑)

でもって、箇条書きのリストが「？」って何がしたいの？

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「所有権の証明」って書かれたところに張られていて、リンク先の
URLがこちらです。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。

このURLで使われているドメインは、サブドメインを含め”morning-credit-5c1f.fxe9sqov2041.workers.dev”
このドメインにまつわる情報を取得してみます。

申請者は、と言うレジストラ。
詐欺サイト運営者はこちらにこのドメインの取得申請を依頼したと思われます。

このドメインを割当てているIPアドレスは”172.67.158.87”
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーに程近い場所。
フィッシング詐欺サイトは、この付近に密集しています！

ピンが立てられのは、カナダのトロントにある「トロント市庁舎」付近。

リンク先は、行かなくてもどのようなサイトがよく知っていますが、一応調査なので安全な方法で
リンク先の詐欺サイトに調査目的で訪れてみました。

やはりAmazonのログインページ。
もちろん偽サイトですから絶対にログインしないでください！

っと、ちょぅっと待って。
途中でどうやらリダイレクト(自動転送)されたようで
開いたサイトのURL変わってるし…
そのURLはこのようになっています。

ああ、面倒臭いけどやっときますか・・・
このサイトで使われているドメインは”service.xkylfsg.cn”
これも一応調べておきます。

申請者は、私では読めない漢字3文字の方。
中国四川省にある「四川域趣网络科技有限公司」と言う企業に申請代行を依頼しているようなので
管理人さんは中国の方でしょうね。

このドメインを割当てているIPアドレスは”34.84.66.60”
このIPアドレスを元にその割り当て地も確認してみます。

あくまでおおよその位置ですよ。
ピンが立てられたのは杉並区和泉付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

まとめ

まったく手の込んだ事をしますね。
いつもより時間が掛かっていまいました。(;^_^A
今回のメールも差出人のメールアドレスが偽装されていなかったので、注意していれば一目にそれと
判断できたと思いますが、多くの場合は偽装して本家のアドレスを使っているものもありますので
ご注意ください。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;