再び第三者不正利用を騙るメール 同じ内容の詐欺メールの連投です。(;^_^A 
これはAmazonを騙ったフィッシング詐欺メールで、1つ前にご紹介したこちらのブログエントリーと
件名は異なりますが、ほぼ同じ内容です。 『詐欺メール』「Amazonをご利用いただきありがとうございます」と、来た件
先回のは、愛知県春日井市に住む「藤本 裕正 様」宛の物でしたが、今回は千葉県市川市の「佐野 英志 様」
と書かれています。
これらの名前は恐らく適当な氏名でしょう。 このメール、冒頭の宛名がメールアドレスになっていることに注目してみてください。
これは、差出人が、こちらの氏名を知らない証拠です。
どこからか不正に入手したメールアドレスリストのメールアドレス宛に機械的に一斉に送ったものと
思われます。 では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は
「[spam] [重要]:【異常な行為が検出.】メール番号:En-9626-87165」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「”Amazon.co.jp” <support@service.fmkop.cn>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 どうして”amazon.co.jp“という会社の顔となるドメインがあるのに、わざわざこのような中国の
国別ドメインのメールアドレスを使うのでしょうか?
これは、自分が偽物だよと言っているようなもんじゃないですか。。。
偽物ながらアドレス偽装は無し では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「support@service.fmkop.cn」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「20230316055242877085@service.fmkop.cn」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from service.fmkop.cn (unknown [23.247.42.92])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | では、メールアドレスにあったドメイン”service.fmkop.cn”について調べてみます。 
ドメインの持ち主は、私には読むことのできない文字を含む漢字3文字の氏名の方。
これによると”23.247.42.92”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと全く同じですから、Amazonの偽物ですがメールアドレスの偽装はありません。 「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”23.247.42.92”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。 
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 代表地点としてピンが立てられたのは、ロサンゼルスにあるカリフォルニア州交通局付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
詐欺サイトはアメリカラスベガスに では引き続き本文。 ご注文の確認
注文番号: P66-29150-828379
*****@*****.***様
誰かがあなたのAmazonアカウントを使用して、別のデバイスからこの注文を購入しました。 まだ注文していない場合は、[注文の詳細を表示する]をクリックして、この注文をすぐにキャンセルしてください。セキュリティ上の理由から、身元を確認するためにいくつかの情報を入力する必要がある場合があります。 お届け予定:
木 曜日,3/16 配送オプション:
お急ぎ便 注文の詳細を表示する
お届け先:
佐野 英志 様
272-0034
千葉県
市川市 市川1-2-78-108 注文合計: ¥ 75,990
支払い方法
クレジットカード(Visa): ¥ 75,990
Amazon.co.jp でのご注文について、くわしくは注文についてのヘルプページをご確認ください。 一部の商品を除き、納品書を同梱せずにお届けしています。領収書が必要な場合は、商品発送後に注文履歴から印刷できます。くわしくは、領収書のヘルプページをご確認ください。 Dash Button/Dash Replenishmentサービスによるご注文については、Dash Button/サービス対応デバイスでの対象商品の設定時とご注文時の提供条件(たとえば、商品、価格、税金、入手可能性、送料及び売主)が一部変更されている場合があります。上記「注文内容」を十分にご確認ください。ご注文後、一定時間はご注文を変更またはキャンセルすることができます。また、発送後でも商品を返品することができます。詳しくは、Amazon Dash利用規約、Amazon.co.jpの返品ポリシーをご覧ください。 その他ご不明な点がある場合は、ヘルプページをご確認ください。 またのお越しをお待ちしております。
Amazon.co.jp | このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「注文の詳細を表示する」って書かれたところに張られていて、リンク先の
URLとトレンドマイクロの「サイトセーフティーセンター」での危険度評価がこちらです。 
おっと、まだ「未評価」のようですね。
もしかして、既にサイトはミッションを達成し閉鎖されてしまっているかもしれません。 このURLで使われているドメインは、サブドメインを含め”amzon.co.jp.ysumida.com”
このドメインにまつわる情報を取得してみます。 
申請登録者は、アメリカネブラスカ州の個人、または団体です。 このドメインを割当てているIPアドレスは”205.185.119.22”
このIPアドレスを元にその割り当て地を確認してみます。 
こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。 ピンが立てられのは、アメリカラスベガスにあるハリーリード空港付近。
これは、1つ前に上げたブログエントリーと全く同じです。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 開くのはAmazonのログインページか、もしくはエラーページ。
一応確認してみると、やはりエラーページでした。 
詐欺サイトは、捜査の手が及ぶのを恐れ、えてして時々姿をくらまします。
こうすることで少しでも捜査の手から逃れようとしているのです。
先程ご覧いただいた通り、IPアドレスとドメインは紐づけされたままなのでサイトは簡単に
復活することが可能な状態です。
まとめ このような馬鹿げたメールに騙される方もいないとは思いますが、一応ご注意ください。 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 