クーポンなんて使ってないし いつもご覧くださりありがとうございます! 吹き出しの掛け合いで右側の女性が見えなくなったしまっていたのでスキンを 変更してみました。 御見苦しい点気付かず申し訳ありませんでした。 ひとまずこのスキンでしばらくやっていこうかと思いますのでよろしくお願いします。 さて今回は、Amazonになりすましてクーポン利用違反をネタにリンクに誘い込み Amazonのアカウント情報、住所などの個人情報、クレジットカードの情報を盗み出そうと するフィッシング詐欺メールです。 こちらがそのメールです。 横幅が長いのでクリックすると拡大表示できるようにしてあります。 参っちゃうわ、またAmazonを騙った詐欺メールよ! ホント切りがないわね! 今度はなんだって? クーポン利用規約違反?? 最近買い物もしてないのにどうやったらクーポン利用違反になるの? ほら見て、差出人のメアドAmazonとは全然違うわよ。 こんなので騙せるとでも思っているのかしら? 『尊敬なるお客様』だって、Amazonなら必ずここに氏名が入るはず それがこのような抽象的な宛名なのは、差出人が宛先の氏名を知らない証拠だよ! じゃ、このメールもHeartさんに解体してもらって 詳しく調べてもらいましょう! 件名は『[spam] クーポン利用規約違反について』 ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は 『”Amazon.co.jp” <adminm@user.ne.jp>』 皆さんはご存じでしょうか? この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。 ですから、ここは信用できない部分です。 ここで使われているドメイン”user.ne.jp”は、ご承知の通りAmazonが通常使うものでは ありません。 Amazonがいつも使うドメインは”amazon.co.jp”ですよね! ここ見ただけでもこのメールがAmazonからのものではないことが分かります。 北京市付近から発信 では、このメールが悪意のあるメールであることを立証していきましょうか! まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。 私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。 おやおや? なぜだかここには”kaisa66.cn”なんて中国の国別ドメインが使われていますね。 いったいこれはどういう意味が隠れているのでしょうね? 末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で 同じ数字の集まりは世界中に1つしかありません。 因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした ものがドメインと呼ばれるものです。 ”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは 送信者のデバイスに割当てられたもので偽装することができません。 このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法 違反となり処罰の対象とされます。 ※特定電子メール法違反 ・個人の場合、1年以下の懲役または100万円以下の罰金 ・法人の場合、行為者を罰する では、メールアドレスにあったドメイン”user.ne.jp”が差出人本人のものなのかどうかを 『Grupo』さんで調べてみます。 これがドメイン”user.ne.jp”の登録情報です。 このドメインは『株式会社横浜ステーシヨンビル』さんが取得されていますね。 『対応するIPアドレスがありません』とあるのでこのドメインは現在利用できないものです。 利用できないドメインを使ったメールの受送信はできませんからこのメールのドメインは ”user.ne.jp”ではありません。 これでアドレスの偽装は確定です! ”Received”に記載されている”kaisa66.cn”と言うドメインについてはどうでしょうか? 同様に『Grupo』さんで調べてみます。 登録者のメールアドレスは、ドメインが”163.com”です。 これはGmailのような中国企業が運営するフリーメールアドレスです。 悪意があるのでまともなメールアドレスを使っていませんね! このドメインを割当てているIPアドレスは”118.145.155.81” よく見てください、これ”Received”に記載されているIPアドレスと全く同じ。 ということはこの差出人の本当のメールアドレスのドメインは”kaisa66.cn”だと分かります。 IPアドレス”118.145.155.81”は、差出人が利用したメールサーバーの情報で これを紐解けば差出人の素性が見えてきます。 このIPアドレスを元に送信に使われた回線情報とその割り当て地を『IP調査兵団』さんで 確認してみます。 (※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 代表地点として地図に立てられたピンの位置は、『Beijing Haidian』とあるので 中国北京市海淀区付近です。 あくまで大雑把な代表地点なのをお忘れなく。 そして送信に利用されたプロバイダーも中国の『Beijing Volcano Engine Technology Co., Ltd.』 このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー を介して届けられたようです。 なんと詐欺サイトのドメインは愛知の方が取得 では引き続き本文。 このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。 そのリンクは『身分情報提出フォーム』って書かれたところに付けられていて そのリンク先をコンピュータセキュリティブランドのトレンドマイクロの 『サイトセーフティーセンター』で検索するとその危険度はこのように評価されていました。 既に『フィッシングサイト』としてしっかりブラックリストに登録済みですね。 このURLで使われているドメインは”havolh2vz4j2d4.top” このドメインにまつわる情報を『Whois』さんと『WebAnalysis』さんで取得してみます。 まずは『Whois』さんでドメインの登録情報を。 このドメインは愛知県の方として登録されていますね。 まあ嘘か本当か分かりませんが… 次に『WebAnalysis』さんで割当てているIPアドレスを取得してみます。 このドメインを割当てているIPアドレスは”47.76.205.50” このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を 再び『IP調査兵団』さんで確認してみます。 (※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 代表地点として地図に立てられたピンの位置は、香港の九龍(Kowloon)地域 こちらもあくまで大雑把な代表地点でございますが。 利用されているホスティングサービスは中国の『Alibaba (US) Technology Co., Ltd.』 この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 沼にはまってみる 危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。 すると開いたのはお馴染みのAmazonへのログインページ。 本物そっくりですね。 でも詐欺サイトなので絶対にロづインしてはいけません! 調査目的で適当なメールアドレスを使ってログインを試みてみます。 次に開いたのは、これまたAmazonサイトにそっくりなページです。 そこには『請求先住所を更新する』と書かれたフォームが表示されていました。 これまた適当に入力し先に進んでみます。 出ましたね! 犯人最大の目的であるカード情報の入力フォームです。 もちろん絶対に入力してはいけません! まとめ 久々に沼にはまってみましたがいかがでしたでしょうか? これがフィッシング詐欺メールの一連の流れです。 気を付けてくださいね!! 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの フィッシング詐欺サイトが作られ消滅していきます。 次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |