恨みでもあるの?これ、昨夜PCを落してから今朝電源投入までにAmazonから届いていたメールです。 
もちろん詐欺メールの類なのですが、いったい私ってAmazonから何度自動更新設定を解除されれば
良いのでしょうか?
『重要なお知らせ』と書いてあるのですが、こんなに送られてきたらそんな重要性薄れてしまいます。(笑) 本文はこんな感じです。
 ロゴのリンクが切れちゃっていますね…(笑)
全10通、差出人のメールアドレスはAmazonのメールアドレスではなく、日経やインプレスなど
バラエティーに富んでいて、Amazonではないことをヒシヒシと醸し出しています。 この件名、既にエントリー書いてあると思ったら、まだ一度も書いてなかったようなので
この10通の中から一番新鮮なメールを選んで解体し詳しく見ていきましょう!
本文内に面白いものが隠されていましたので、ご興味があれば本文に関する項目をご覧ください。 ではまずはプロパティーから見ていきましょう。 件名は『[spam] 【重要なお知らせ】Amazonプライムの自動更新設定を解除いたしました』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は
『”Amazon” <trvb@m.internet.watch.impress.co.jp>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 確かに差出人名は『Amazon』とされていますが、メールアドレスが情報技術分野に関するコンテンツ事業を
行う日本の企業『インプレス社』のもの。
まあ、差出人は分かってやっていることかと思いますが、こんなことして何が楽しいのでしょうか?
IPが全然違うしでは、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 | Received:『from m.internet.watch.impress.co.jp (unknown [123.188.35.171])』 |
この”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。 ※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する では、メールアドレスにあったドメイン”m.internet.watch.impress.co.jp ”が差出人本人のものなのか
どうかを調べてみます。
 これがドメイン”m.internet.watch.impress.co.jp”の登録情報です。
もちろんこのドメインは『インプレス社』のもので、これによると”202.218.128.153”がこのドメインを
割当てているIPアドレス。
本来この4つの数字は”Received”のIPアドレス”123.188.35.171”と同じ数字になるはずですが
比較すると全く異なるのでこのメールのドメインは”m.internet.watch.impress.co.jp”ではありません。
これでアドレスの偽装は確定です! ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
記載されている末尾の数字は、そのサーバーのIPアドレスになり、これを紐解けば差出人の素性が
見えてきます。
このIPアドレスを元に送信に使われたホスト情報とその割り当て地を確認してみます。
 送信に利用されたのは、『CNC Group CHINA169 Liaoning Province Network』と言うプロバイダーです。 位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。 代表地点としてピンが立てられたのは、『中国 遼寧省 瀋陽市』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
隠し文字?では引き続き本文。 | Amazonプライムをご利用いただきありがとうございます。 お客様のAmazonプライム会員資格は、2023年7日16に更新を迎えます。 お客様のアカウントを維持するため Аmazon アカウントの 情報を確認する必要があります。下からアカウントをログインし、情報を更新してください。 Аmazon ログイン なお、48時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。 アカウントに登録のEメールアドレスにアクセスできない場合
お問い合わせ: Amazonカスタマーサービス。 ※ 本メールは、ご登録されたメールアドレス宛に自動的に送信しています。 ※ このメールは、受信メールを受け入れることができない通知専用アドレスから送信されました。このメッセージには返信しないでください。 今後ともをよろしくお願いいたします。 |
この本文、HTML形式で表示されていますが、これをTEXT形式に表示を切り替えてみます。
 マーキングした行は、HTML形式では見られなかった部分。
何がしたいのでしょうか?
本文とは全く関係の無い記述ですが、意味が分かる行なので『ワードサラダ』ではなさそうですが… このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『Аmazon ログイン』って書かれた黄色いボタンのところに付けられていて、
そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。
 既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。 このURLで使われているドメインは”melvinlhill.com”
このドメインを割り当てているIPアドレスを取得してみます。
 このドメインを割当てているIPアドレスは”43.129.170.14”
このIPアドレスを元にサイト運営に利用されているホスト情報とその割り当て地を確認してみます。
 サイト運営に利用されているホストはシンガポールの『Aceville Pte』 こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
地図上にピンが立てられたのは『香港』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。
 本物っぽいログインページが開きました。
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。
まとめ今時このようなAmazonから『自動更新停止』なんてメール受け取っても誰一人本気にしないでしょうね。
Amzonを騙る詐欺メール多すぎますもんね! でも恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
![『詐欺メール』『[spam] [au.com]いつもご利用ありがとうございます』と、来た件](/wp-content/uploads/2023/12/img_657261d0ba615-730x135.png)
