自身のデバイスに送信サーバーを構築?!
アマゾン騙りで複数の詐欺メールの本文が混在しているメールが届きました。
それにこのメール、件名と本文の内容が全く異なっていて、前半がアカウントの更新ができなかった話で
後半がアカウントの異常な操作の話になってなんのこっちゃって感じになっています。
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。
件名は
「[spam] 「個人情報保護方針」を更新しましたので、個人情報を更新してください」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
差出人は
「"アマゾン" <information@amazon.localdomain>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
ドメイン部分が”amazon.localdomain”となっていますよね?
このドメインは、”local”分かるように、ローカルネットワークで使われるもので公には機能しません。
なので、もしこれが本当であればこの差出人は自分の持つデバイスに送信サーバーを構築し
レンタルサーバー等を介さずにこのメールを送ってきたことになります。
それに「Amazon」さんは、”amazon.co.jp”と公の正規ドメインをお持ちです。
正規ドメインが有るのにそれ以外のこのようなドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。
サンパウロからのメール
では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。
| Return-Path: 「information@amazon.localdomain」
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
|
| Message-ID:「1a7eab169390e604d2a0e1fab7f29c48@173.82.227.129」
”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
|
| Received:「from fsdbdfg.localdomain (unknown [173.82.227.129])」
”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
|
ことごとく”.localdomain”になっているので、どう見てもこの差出人は、やはり自前のサーバーを
利用したようですね。
「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”173.82.227.129”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にドメインを逆引きしてみます。
これによるとこのIPアドレスには”excelparkbiz.com”と言うドメインが割り当てられているようです。
その持ち主は、アイスランドのレイキャビックの方のようです。
次にIPアドレスの割り当て地を確認してみます。
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。
代表地点としてピンが立てられたのは、ブラジルサンパウロ付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
localhost で接続が拒否されました
では引き続き本文。
| ご注意ください!
大変申し訳ございません、あなたのアカウントは閉鎖されます。
あなたのアカウント·Amazonを更新できませんでした、これは、カードが期限切れになったか、請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。
Amazonをご利用いただきありがとうございますが、アカウント管理チームは最近Amazonアカウントの異常な操作を検出しました。アカウントを安全に保ち、盗難などのリスクを防ぐため、アカウント管理チームによってアカウントが停止されています。
Amazon ログイン
なぜこのメールを受け取ったのだろうか?
この電子メールは、定期的なセキュリティチェック中に自動的に送信されました。
当社はお客様のアカウント情報に完全に満足しておらず、引き続きサービスを継続的にこ利用いただくためにアカウントを更新する必要があります。
Amazonカスタマーサービス
またのご利用をお待ちしております。
Amazonセキュリティセンターからの重要なメッセージ |
最初にも書きましたが、この内には2種類の内容の本文が書かれています。
1つが、アカウントの更新ができなかったという内容と、後半はアカウントの異常な操作を検出した
という内容。
それに「あなたのアカウント·Amazonを更新できませんでした」なんておかしな日本語の部分も
あったりと、これじゃ読んだ方は怪しいと思っちゃいますよね?
このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「Amazon ログイン」って書かれたところに張られていて、リンク先の
URLがこちらです。
このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。
えっ、まさかの安全宣言?
おかしいなと思い、恐る恐るリンク先を覗いてみると…
「このサイトにアクセスできません localhost で接続が拒否されました」
と書かれたエラーページが返されました。
“localhost“とは、今このエラーページが表示された自身のデバイスを表します。
そんなところにウェブサーバーやウェブページなんて無いので当然エラーになって返ってくるわけです。
まとめ
この手の表示は最近のAmazon騙り詐欺サイトではよくあることで、愉快犯が最初から意図的に
“localhost“へ接続させたのか、それとも捜査の手が及ぶのを恐れ、敢えて姿をくらましたのか。
残念ながら私には、そこまでを知る手段はありません。
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |