『詐欺メール』『Amazon.co.jp ご注文のキャンセル アカウントが盗まれる危険性があります。』と、来た件

★フィッシング詐欺解体新書★

もう既にキャンセルされているのに？

いつもご覧くださりありがとうございます！

Amazonを騙る詐欺メールは、皆さんの所にも膨大な数が届いていることと思います。
同じものばかりが多すぎてあまり扱う気が全くしないのが本音なのですが、新種と来ちゃ話は別。
今回ご紹介するのはこちらのメールです。

まず一目でわかるのは、差出人のメールアドレスのドメイン(@以降)がAmazonのものではないこと。
そう、Amazonから届くメールのドメインは必ず”amazon.co.jp”であるはずです。
なのにこのメールの場合はそれとは全く異なる数字を含む怪しげなドメインが使われています。
もうこの時点でこのメールはアウトです！

本文に書かれているのは、何者かによるAmazonアカウントの不正利用によってiPhone 15 Pro Maxが
注文されたもののAmazonがそれに気づき、注文をキャンセルし対象のアカウントを凍結したそうです。
でもここからがおかしな話になってきて、48時間以内にメールに付けられているリンクを辿り
その凍結したアカウントから注文をキャンセルしてアカウントを復元するように書いてあります。
あれ？冒頭に注文は既にキャンセルされたと書かれていたはず！
それなのにどうしてもう一度キャンセル手続きを行わなければならないのでしょう？
それに凍結されているであろうアカウントで…(;^_^A
もう言ってることが滅茶苦茶です┐(´д｀)┌ﾔﾚﾔﾚ

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきます。

件名は『[spam] Amazon.co.jp ご注文のキャンセル アカウントが盗まれる危険性があります。』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
『アカウントが盗まれる危険性があります』って、この惨状だともう既に盗まれていますよね？(笑)

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”Amazon.co.jp” <support@service.h7tgu345h.com>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

先にも書いた通り、Amazonから届くメールのドメインは必ず”amazon.co.jp”であるはずです。
故にこのメールアドレスはAmazonのものではないので偽物です。

IPに割当ての無いドメインは利用不可

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。

末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。

”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは
送信者のデバイスに割当てられたもので偽装することができません。

このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”service.h7tgu345h.com”が差出人本人のものなのかどうかを
『Grupo』さんで調べてみます。

これがドメイン”service.h7tgu345h.com”の登録情報です。
これによるとこのドメインは実在するようですが『対応するIPアドレスがありません』とあるので
現在利用することができないドメイン。
故にこのメールのドメインは”service.h7tgu345h.com”ではありません。
これでアドレスの偽装は確定です！

”Received”に記載されているIPアドレス”107.172.158.181”は、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を『IP調査兵団』さんで確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

代表地点として地図に立てられたピンの位置は、ロサンゼルス市庁舎付近。
あくまで大雑把な代表地点なのをお忘れなく。
そして送信に利用されたプロバイダーはニューヨークに拠点を置く『ColoCrossing』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー
を介して私に届けられたようです。

PC環境では接続できない詐欺サイト

では引き続き本文。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『この注文をキャンセルする』って書かれたところに付けられていて
コンピュータセキュリティブランドの『Norton』の『Nortonセーフウェブレポート』では
このように判定されていました。

既に『フィッシングサイト』としてしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

ちょっと、ちょっと、安全って…そりゃヤバいでしょ！
早急に評価を変更していただけるように私から変更の申請を行っておきます。

このURLで使われているドメインは”amzaon.co.jp.cxpxkj.com”
このドメインにまつわる情報を取得してみます。

このドメインは中国山東省煙台市(えんたいし)の方が申請登録されています
割当てているIPアドレスは”43.130.244.80”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を
再び『IP調査兵団』さんで確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

代表地点として地図に立てられたピンの位置は『日本大学鶴ヶ丘高等学校総合グラウンド 研修館』付近。
こちらもあくまで大雑把な代表地点でございます。
利用されているホスティングサービスは、中国の『Shenzhen Tencent Computer Systems Company Limited』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

リンク先を確認してみましたが『この localhost ページが見つかりません』と書かれたエラーページでした。
これはAmazonを騙る詐欺メールではよくあることで、私のようにPCからの環境だとエラーページになり
スマホやタブレットだと詐欺サイトに接続されるようです。
ま、わざわざスマホで確認しませんけどね！(笑)

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;