サイトアイコン HEARTLAND

『詐欺メール』Amazonから『【重要なお知らせ】』と、来た件

heart

不気味な添付ファイル付きメール第一弾
※ご注意ください!
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

なぜテキストで添付?

今朝、メールボックスを確認したところ『saison.txt』と言う名前の添付ファイルが付けられたメールが
全部で4通

アマゾンにアメエクにETC利用照会サービスにマイナポイントと、まあよく見掛ける詐欺メール類です。
この中で、Amazonを騙る者を開けてみるとこんな感じになっていて何やら英語の本文が書かれています。

『Southern suffer world policy none rich.Score image opportunity he just who.Character best world type collection affect.』

英語がからっきしなので何が書いてあるかGoogle先生にお願いして翻訳してみました。

『南部は世界政策に何も裕福ではありません。スコア画像の機会は彼だけです。キャラクター最高の世界タイプのコレクションが影響します。』

折角翻訳していただいたのですが何が何だかさっぱり意味が分かりません。(;^_^A
いったいこのメールで何がしたいのでしょうか?

ちょっと恐々ですが『saison.txt』と言う名前の添付ファイルを開いてみることにします。

<html lang=”ja”><head>
<meta charset=”UTF-8″>
<meta http-equiv=”X-UA-Compatible” content=”IE=edge”>
<meta name=”viewport” content=”width=device-width, initial-scale=1.0″>
<title>Amazon.co.jp – アカウントセキュリティに関する重要通知</title>
<meta content=”text/html; charset=utf-8″ http-equiv=”Content-Type”>
<base href=”https://www.amazon.co.jp.mple@ikmhp.com/”>
</head>
<body>
<h3>拝啓、Amazonのお客様</h3>
<p>貴重なお時間をいただき、誠にありがとうございます。Amazonカスタマーサポートチームより、アカウントに関する重要なお知らせをお伝えします。</p>
<p>現在、お客様のアカウントはセキュリティ上の懸念から一時的に利用制限を行っております。この措置はアカウントの安全を確保するために必要なものであり、ご迷惑をおかけしていることを心よりお詫び申し上げます。</p>
<p>アカウントの利用制限を解除し、通常のサービスを取り戻すためには、アカウント情報の確認が必要です。以下の手順で情報の確認をお願いいたします:</p>
<ul>
<li>Amazonにログインしてください。</li>
<li>アカウント設定画面より、「アカウント情報の確認」に進んでください。</li>
<li>指示に従って必要な情報を提供し、確認を完了させてください。</li></ul>
<p>情報確認後、アカウントの利用制限が解除され、通常のサービスが再開されます。お手数をおかけしますが、ご協力をお願いいたします。</p>
<b><a style=”text-decoration: underline” href=””>アカウント認証</a>
<p>ご不明点やご質問がございましたら、以下のカスタマーサポートまでお気軽にお問い合わせください:</p>
<p>Amazonカスタマーサポート<br>お問い合わせ先: <a href=”mailto:support@amazon.co.jp”>support@amazon.co.jp</a></p>
<p>ご協力とご理解、どうもありがとうございます。</p>
<p>敬具<br>Amazonカスタマーサポートチーム</p>
<p>&nbsp;</p><br>――――――――――― <br><br>※メール配信解除はこちらよりお手続き下さい。
<br>このメールは送信専用のため、ご返信いただけません。 <br>配信元:株式会社
<br>―――――――――――
<br><br>

 

</b><br><br></body></html>

どうやらHTMLで書かれたWebページのようですね。
このファイルの拡張子をhtmlに変更してみるとこうなりました。

(クリックで拡大します)

これはいつもよく来るAmazonを騙った詐欺メールと全く同じ文面です。
でもどうしてテキストにして添付したのでしょう?更に意味不明です…(^^;)

では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。

件名は『[spam] 【重要なお知らせ】』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”アマゾン” <afd60127d@4875c68f5.jp>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

皆さんご承知の通りAmazonからのメールで使われるメールアドレスは、このような暗号のような
アドレスではありませんね。
それにこの暗号のようなドメインは存在するのでしょうか?
その辺りを次の項で確認してみることにいたします。

差出人のメールアドレスは空きドメイン

では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『from afyns.com (unknown [170.106.65.237])』

ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーのもので
すなわち差出人が使った送信サーバーの自局情報です。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません
でもこの数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。

このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”4875c68f5.jp”が差出人本人のものなのかどうかを
調べてみます。

これがドメイン”4875c68f5.jp”を割当てているIPアドレスを調査した結果です。
どうやらこのドメインはIPアドレスが割当てられていないようです。
もしかしてこれって空きドメイン?ってことで『お名前ドットコム』さんで確認してみるとやっぱり…

この暗号のようなドメインは誰にも取得されていない空きドメインです。
空きドメインでメールを受送信することは不可能なのでこの差出人はメールアドレスを偽装しています。

Received”に記載されているIPアドレス”170.106.65.237”は、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

地図上にピンが立てられたのは、アメリカのサンノゼ付近。
そして送信に利用されたのは、中国北京に拠点を置く『Tencent Cloud Computing (Beijing) Co』と言う
プロバイダーです。

署名の社名が…

では引き続き本文。

拝啓、Amazonのお客様
貴重なお時間をいただき、誠にありがとうございます。Amazonカスタマーサポートチームより、アカウントに関する重要なお知らせをお伝えします。

現在、お客様のアカウントはセキュリティ上の懸念から一時的に利用制限を行っております。この措置はアカウントの安全を確保するために必要なものであり、ご迷惑をおかけしていることを心よりお詫び申し上げます。

アカウントの利用制限を解除し、通常のサービスを取り戻すためには、アカウント情報の確認が必要です。以下の手順で情報の確認をお願いいたします:

Amazonにログインしてください。
アカウント設定画面より、「アカウント情報の確認」に進んでください。
指示に従って必要な情報を提供し、確認を完了させてください。
情報確認後、アカウントの利用制限が解除され、通常のサービスが再開されます。お手数をおかけしますが、ご協力をお願いいたします。

アカウント認証
ご不明点やご質問がございましたら、以下のカスタマーサポートまでお気軽にお問い合わせください:

Amazonカスタマーサポート
お問い合わせ先: support@amazon.co.jp

ご協力とご理解、どうもありがとうございます。

敬具
Amazonカスタマーサポートチーム

 

―――――――――――

※メール配信解除はこちらよりお手続き下さい。
このメールは送信専用のため、ご返信いただけません。
配信元:株式会社
―――――――――――

末尾の署名欄見てください。
『配信元:株式会社』ってなに?(笑)
せっかく作るんだったら最後まできちんと作りましょうよ!

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『アカウント認証』って書かれたところに付けられていて、
そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは、サブドメインを含め”aukbgj.xyz”と、これまたAmazonには全く
関連性の無いもの。
このドメインにまつわる情報を取得してみます。

『Registrant Country: AL』とあるのでこのドメインは南東ヨーロッパにある『アルバニア』の方が
取得されているようです。
そしてこのドメインを割当てているIPアドレスは”43.153.136.35
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

今度ピンが立てられたのは、『杉並区立和泉二丁目公園』付近。
利用されているホスティングサービスは、中国深センに拠点を置く『Shenzhen Tencent Computer Systems Company Limited』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

本物そっくりのログインページが開きました。
ここにログインしてしまうと、それらの情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了