「tasukekoubou」ってダレよ? マクロン文字「ā」やピンインの「ǒ」や「ň」を使った件名でAmazonからメールが届きました。 こんな文字どうやってキーボード叩けば出てくるんでしょうかね?(笑) 余計に違和感が湧いてしまうと思わないのでしょうかね? このようなメールが、昨日から4通届いています。 ![](/wp-content/uploads/2022/10/img_63474b32bb1bc.png) 本文の内容は、かなり昔からあるAmazonに成りすましプライム会員費の支払いができないから 支払い方法をリンから確認するように促すものです。 ところで、宛名に書かれている「tasukekoubou」ってのは誰なのでしょうか? 気になって仕方ありません…(;^_^A では、このメールを解体し詳しく見ていきましょう! まずはプロパティーから見ていきましょう。 件名は 「[spam] 【Amāzǒň】プライム会費のお支払い方法に問題」 ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人はそれぞれ 「Amazon <changeid@gmail.com>」 「Amazon <changeid@hotmail.com>」 「Amazon <changeid@gh.com>」 「Amazon <changeid@aafzvoe.org>」 全部共通するのは「changeid」ってアカウントになっていること。 皆さんはご存じでしょうか? この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。 ですから、ここは信用できない部分です。 恐らくこれらのメールアドレスは全て偽装。 もちろん「gmail.com」や「hotmail.com」は有名どころなので存在するドメインですが 「gh.com」なんて短くて価値の高いメールアドレスを詐欺メールで使うはずありませんし 「aafzvoe.org」なんてのは、このようにドメイン自体存在していません。 ![](/wp-content/uploads/2022/10/img_63474fc5a5071.png) では、この4通の中で一番新鮮なメールを次の項で詳しく見ていくことにしましょう。 あくまで”hotmail.com”と言い張るが では、このメールがフィッシング詐欺メールであることを立証していきましょうか! まず、このメールのヘッダーソースを確認し調査してみます。 私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。 ソースから抜き出した「フィールド御三家」がこちらです。 この差出人は、あくまで自分のドメインは”hotmail.com”と言い張るようですね。 ならばその鼻っ柱をへし折ってやりましょうか! 先に書いた通り”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。 このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法 違反となり処罰の対象とされます。 ※特定電子メール法違反 ・個人の場合、1年以下の懲役または100万円以下の罰金 ・法人の場合、行為者を罰する では、メールアドレスにあったドメイン”hotmail.com”について調べてみます。 ![](/wp-content/uploads/2022/10/2c68f2cd0ebda8da63cacb0d58e0a72d.png) 当然ちゃんと「Microsoft Corporation」さんの持ち物です。 そして”204.79.197.212”がこのドメインを割当てているIPアドレス。 本来同じでなけれならない”Received”のIPアドレスが”27.184.155.89”ですから全く異なります。 これでアドレス偽装は確定。 この方にはしっかり罪を償っていただかなければなりませんね! 「フィールド御三家」の中で一番重要なのは”Received” これを紐解けば差出人の素性が見えてきます。 ”Received”のIPアドレス”27.184.155.89”は、差出人が利用しているメールサーバーのもの。 このIPアドレスを元にその割り当て地を確認してみます。 ![](/wp-content/uploads/2022/10/img_63475124e9c49.png) IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 ピンが立てられたのは、中国河北省石家荘市(せっかそうし)付近の畑のど真ん中です。 このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。 リンクは偽サイトへの窓口 では引き続き本文。 ずいぶん昔から流れている詐欺メールなので特に日本語使いに問題はありませんね。 このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。 そのリンクは「支払方法を更新する」って書かれた黄色いボタンい張られていて、リンク先の URLがこちらです。 ![](/wp-content/uploads/2022/10/img_634752a009faf.png) Amazonに全く関連の無いドメインで構成されていますね。 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。 ![](/wp-content/uploads/2022/10/img_634752deb09e4.png) このように既に危険サイトと認識されており、ブラックリストに登録済み。 そのカテゴリは「フィッシング」と書かれています。ます。 評価を変更していただけるよう早速申請しておきます。 このURLで使われているドメインは、”planteenterprises.com” このドメインにまつわる情報を取得してみます。 ![](/wp-content/uploads/2022/10/img_63475357cafb8.png) ![](/wp-content/uploads/2022/10/img_6347538aad215.png) 申請者は、「OwnRegistrar」といううさん臭そうなレジストラ。 ググったら、検索結果に赤罰点ついていました…(汗) ![](/wp-content/uploads/2022/10/img_634754565527e.png) このドメインを割当てているIPアドレスは”104.129.63.36” このIPアドレスを元にその割り当て地を確認してみます。 ![](/wp-content/uploads/2022/10/img_634754caa07ee.png) このIPアドレスは、こちらでも危険なものとしてブラックリストに登録されて、脅威レベルは「高」 その詳細はWebによるサイバーアタックとされています。 そしてピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーに程近い場所。 フィッシング詐欺サイトは、この付近に密集しています! この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険と言われると見に行きたくなるのが人情と言うもの。 安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。 インジケーターが何度かクルクル回った後で開いたのは「Amazon」のログインページ。 もちろん偽サイトですから絶対にログインしないでください。 ![](/wp-content/uploads/2022/10/img_63475547b4432.png) もし誤ってログインしてしまった場合は、急いで「カスタマーサービス」に連絡を取ってください。 まとめ 「Amazon」に成りすますフィッシング詐欺メールはあまりに大量なので積極的に取り扱わないように していますが、本日はネタ不足のため取り上げてみました。 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの フィッシング詐欺サイトが作られ消滅していきます。 次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |