『詐欺メール』「【ご注意】Amazon アカウント 異常は更新待ちです」と、来た件

★フィッシング詐欺解体新書★

「Amazonお客様」なんて宛名使うはずない

以前に同じようなメールを何度かご紹介したことがあるかもしれませんが、この件名でのブログ投稿が
ありませんでしたので取り上げてみることにします。

「アカウント異常は更新待ちです」なんてなんとも違和感のある日本語ですよね。
それに、例によって「バインディング」なんて難しいカタカナ言葉を使って受信者の不安を
駆り立てるような文章で書かれています。
だいたいAmazonが「Amazonお客様」なんて宛名使うはずないですよね！

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「[spam] 【ご注意】Amazon アカウント 異常は更新待ちです」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「Amazon.co.jp <amazon@xaxczscq.com>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

ドメインは企業の顔でもあります。
ご存じの通り「Amazon」さんには、”amazon.co.jp”って正規ドメインをお持ちです。
そのドメインを使わないメールアドレスでユーザーさんにメールを送るってどうよ。
そんなのあり得ない話です。

ドメイン”xaxczscq.com”を調査

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

では、”Received”にあったドメイン”mail3.xaxczscq.com”について調べてみます。

このドメインの申請者の所在はアメリカミシガン州。
それ以外の情報は全てプライバシー保護されています。
そして”104.223.147.178”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと全く同じなので、この差出人はメールアドレスを偽装せず自身の持つ
メールアドレスを使いこのメールを配信したようです。

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”104.223.147.178”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。
ピンが立てられたのは、アメリカロサンゼルスにあるカリフォルニア州交通局付近です。
利用されたプロバイダーはカリフォルニア州ロサンゼルスのインターネット サービス プロバイダである
「LayerHost」と記載されています。
このメールは、この付近に設置された「LayerHost」のメールサーバーを介して私に届けられたようです。

詐欺サイトは一時的に閉鎖か

では引き続き本文。

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「所有権の証明」って書かれたところに張られていて、リンク先の
URLとトレンドマイクロの「サイトセーフティーセンター」での危険度評価がこちらです。

「未評価」のようです。
もしかしてと思いサイトへ行ってみると、すでに閉鎖されていて接続できない状況でした。

閉鎖される前は恐らく偽のAmazonのログインページが開いたことでしょうね。

このURLで使われているドメインは、サブドメインを含め”amzanao.co.ip.watoory.shop”
サイトは閉鎖されているかもしれないけど、ドメインは捨てていないだろうと
このドメインにまつわる情報を取得してみます。

登録者は、アメリカの「PrivacyGuardian.org」
ここは匿名でのドメイン登録を代行してくれることで知られており、サイバー犯罪の温床になっています。

このドメインを割当てているIPアドレスは”204.152.210.162”
このIPアドレスを元にその割り当て地を確認してみます。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーに程近い場所。
フィッシング詐欺サイトは、この付近に密集しています！

まとめ

詐欺サイトは、捜査の手が及ぶのを恐れ、えてして時々このサイトのように姿をくらまします。
こうすることで少しでも捜査の手から逃れようとしているのです。
先程ご覧いただいた通り、IPアドレスとドメインは紐づけされたままなのでサイトは簡単に
復活することが可能な状態です。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

おまけ

私、怪しいメールはいつも表示状態をHTMLからプレーンテキスト表示に切り替えてみるんです。
そうすると、見えていなかった文字や記号などがあぶり出しのように浮かび上がってくる
ことがあるからです。
このメールも例によって表示をテキスト形式に切り替えてみたところマーキングした部分に
このように本文には関係のない行が複数浮き出てきました。

これは恐らくサーバーのセキュリティー突破のために付けられたワードサラダ。

『詐欺メールに付き物』「ワードサラダ」とは？

ワードサラダは悪意のある証拠 ワードサラダは、フィッシング詐欺メールでよく使われる手法です。 上のメールを見てください。 これはメールの本文をHTML形式からTEXT形式に表示を切り替えたもの。 イエローでマーキング文字列は、HTML形式の...

ymg.nagoya

ワードサラダについて詳しくはこちらで特集を設けておりますのでそちらをご覧いただくとし
このメール、末尾の著作権表示の”Amazon”の文字がすべて”Arnazon”と「ｍ」が「rn」に
入れ替えられていますね…(笑)
ったく、何がしたいのでしょうか？

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;