『詐欺メール』『Amazon重要なお知らせ：ご注文の詳細とキャンセルについて』と、来た件

★フィッシング詐欺解体新書★

宛名がメールアドレスって…

皆さんにもこのような怪しいメールが届いていることと思います。

意図しない注文を装い受信者を不安に陥らせリンクに誘い込むフィッシング詐欺メールです。
Amazonユーザーさんなら分かると思いますが、もしこれがAmazonからのメールであるならば
本文の宛名はメールアドレスではなく氏名が書かれているはずです。
それなのにこのメールの場合、受信者のメールアドレスが書かれています。
これは、送信者がこちらの氏名を知らないことの裏返し！
どこかで入手した漏洩メールアドレスリスト宛にランダムに一斉に送られたものだと思われます。

本文には、静岡県 伊東市の住所と個人名が記載されているので、あたかもこの中丸さんが犯人の
ように書かれていますが、もちろんそんな不正な注文はされておらず全てがフェイクです。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『Amazon重要なお知らせ：ご注文の詳細とキャンセルについて』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。

差出人は
『”Amazon” <contact@amazon.co.jp>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

確かに”amazon.co.jp”はAmazonの公式なドメインですが、このメールは明らかにAmazonからの
ものではないので偽装の疑いがあります。
その辺りを次の項で詳しく解説していきます。

りそな銀行の詐欺メールにも手を染めている？！

ではまず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

ここに記載のある”resona.co.jp”は以前りそな銀行の詐欺メールをご紹介した際に出てきたドメイン。
でも、この時の調査ではこのドメインはりそな銀行さんのものではないことが判明しています。
恐らくこの差出人は、りそな銀行の詐欺メールにも手を染めているのでしょうね。

いちいち調べませんが、この差出人は間違いなくメールアドレスを偽装しているので特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字”118.107.0.174”は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは、『Rackip Consultancy Pte. LTD』と言うシンガポールにあるプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、香港の『Sheung Wan』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

『中丸　由美子』ってダレ？

では引き続き本文。

37,900円ってまあまあの金額ですが、いったい何を注文したのでしょうね？(笑)

このメールは詐欺メールですから詐欺サイトへのリンクが2箇所付けられています。
そのリンクは、冒頭の『ご注文の確認』ってところと『この注文をキャンセルする』って書かれたところに
付けられていて、『この注文をキャンセルする』ってところに付けられているリンク先のURLがこちらです。

おや？　こちらはちゃんとAmazonの公式ドメインが使われたURLですよね。
ちゃんと末尾に注文番号付けて有りますね。(笑)
これに騙されてはいけません！
冒頭の『ご注文の確認』ってところに付けられているリンク先のURLをトレンドマイクロの
『Site Safety Center』で調べてみました。

現在調査中なのでしょうか、結果は『未評価』と出ました。
早急に評価を変更していただけるように一応私から変更の申請を行っておきます。

このURLで使われているドメインは”jinliktv.com”と、Amazonには全く関係無いドメインとなっています。
このドメインを割当てているIPアドレスの情報を取得してみます。

このドメインを割当てているIPアドレスは”134.122.185.26”
先程と同じように、このIPアドレスを元にサイト運営に利用されているホスティングサービスと
その割り当て地を確認してみます。

利用されているホスティングサービスはやはり『Rackip Consultancy Pte. LTD』

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
今度ピンが立てられたのはまたしても香港ですが、先程より少し東寄りにある港町の柴湾』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

トレンドマイクロの『サイトセーフティーセンター』での危険度評価からすると、リンク先の
詐欺サイトは、どこからもブロックされることなく無防備な状態で放置されていると思われます。
そんなサイトに、調査を目的で安全な方法を利用して訪れてみることにします。
しっかりとセキュリティーの整った環境下で見に行ってみると。

なんだ、しっかりブロックされているじゃありませんか…(;^_^A
気にせず先に進んでみると、当然のように開いたのがこのページ。

本物そっくりのログインページですがURLのドメインは相変わらず”jinliktv.com”。
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。

まとめ

相変わらずAmazonに成り済ます詐欺メールは圧倒的に多く、たまにはこのように変わり種のものも
ありますが、中身はいつも同じなので確認せずにゴミ箱行のものばかりです。
本家Amazonさんもさぞかし業を煮やしていることでしょうね。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;