「アマゾン認証カード」って知ってます? Amazonを騙る詐欺メールは、マジ多すぎて紹介済みなのかどうかわからず躊躇するのですが
きっと皆さんのところにも毎日毎日腐るほど同じような内容のものが届いていることでしょう。 ここ最近特に多く送られてくるのは「アマゾン認証カード番号の検証のお願い」との件名のメール。 
だいたい日本人が「尊敬なるお客様へ」なんてどこかの国の言葉を翻訳機にかけたような
書き出しでメールを送るでしょうか?
私は、このよう言葉を使うメールでロクなメールを見たことがありません。 「認証カード」が検証されていないってことらしいですが、一応私、長くAmazonのプライム会員させて
もらっていますが、「アマゾン認証カード」なんての持っていない上に見たこともありませんが
そんなもの存在するのでしょうか?
本当にそんなもの存在するのだろうかと「アマゾン認証カード」をググってみましたが
詐欺メールの話題以外的確な結果は見当たりませんでした。(笑) では、このバカげたメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は
「[spam] アマゾン認証カード番号の検証のお願い」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「”Amazon.co.jp” <nx7zosl7buapc9s3yyvryxj4@amazon.co.jp>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 どこの企業が「nx7zosl7buapc9s3yyvryxj4」なんてふざけたアカウント作るでしょうか?
もうケチの付け所満載ですね。
こんなアカウントに”amazon.co.jp”なんてAmazonのドメイン付けられたって誰も信じませんよ!
Amazonが香港にあるプロバイダーを使う? では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「nx7zosl7buapc9s3yyvryxj4@amazon.co.jp」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「d2ca6746581b25399964a5b5c555b5d9@118.194.230.161」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from 10-40-184-1.localdomain (unknown [118.194.230.161])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
ここに”localdomain”と書かれているので、この差出人はおそらくレンタルサーバーではなく
自身で構築したメールサーバーを利用してこのメールを送ってきたようです。 | もう明らかに詐欺メールなので、メールアドレスの偽装は間違いないものと思われます。
これは特定電子メール法違反となり処罰の対象とされます。 ※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する では、”Received”にあったIPアドレス”118.194.230.161”について調べてみます。 「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス””は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にそのプロバイダー情報と割り当て地を確認してみます。 
まずは利用されたプロバイダーから。
「Ucloud Information Technology(HK)」と書かれていますから中国香港にあるプロバイダーです。 そして割当て地。
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 代表地点としてピンが立てられたのは、フィッシング詐欺メールの国内一大生産地の杉並区にある
「杉並区立和泉二丁目公園」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
すべてはリンクへ誘い込むための口実 では引き続き本文。 | 尊敬なるお客様へ: こんにちは! アマゾンへのお引き立てに感謝いたします。私はアマゾンカスタマーサポートのスタッフです。お客様のお力になることができることを嬉しく思います。 アカウントを確認いたしましたところ、アマゾン認証カード番号の検証がまだ行われていないことが判明いたしました。アカウントのセキュリティを確保するため、すぐに認証カード番号の検証を行っていただくようお願いいたします。 認証カード番号は、アマゾンでのショッピングに必要な証明書であり、アマゾンが提供するすべての割引やプロモーションアクティビティをご利用いただけます。認証カード番号を検証できない場合、アマゾンサービスをご利用いただけません。 検証はこちらのリンクから行ってください: [検証リンク] 検証に関してご不明な点がございましたら、いつでもお気軽にお問い合わせください。私たちはお客様のサポートに努めます。 ショッピングをお楽しみください! 敬具 アマゾンカスタマーサポートチーム | 本文をそのまま貼付けてみました。
ごちゃごちゃ御託を並べ立てていますが、すべてはリンクへ誘い込むための口実。
そのリンクは「[検証リンク]」って書かれたところに張られていて、リンク先の
URLがこちらです。
このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。 
このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。 このURLで使われているドメインは、サブドメインを含め”twwwp.cn”とかなり短い中国の国別ドメイン
が使われていますね。
このドメインにまつわる情報を取得してみます。 
このドメインの持ち主さんは、私には読めない文字を含む漢字2文字の氏名の方。 このドメインを割当てているIPアドレスは”134.122.169.10”
このIPアドレスを元にその割り当て地を確認してみます。 
こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
今度は、日本武道館にほど近い東京都千代田区九段南付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 最近アマゾンを騙る詐欺メールのリンク先は動作していないものが多くみられますが、このメールの
リンク先もご多分に漏れず… 
詐欺サイトは、捜査の手が及ぶのを恐れ、えてして時々姿をくらまします。
こうすることで少しでも捜査の手から逃れようとしているのです。
先程ご覧いただいた通り、IPアドレスとドメインは紐づけされたままなのでサイトは簡単に
復活することが可能な状態です。
まとめ こうしてブログを書いている最中も次から次へとAmazon騙りのメールが送られてきます。
もう本当にAmazonを騙った詐欺メールはうんざりですね。 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 