よその国の方から? アマゾンを騙った、あまりにも中途半端でおかしな件名のメールが届きました。 その件名は 「[spam] 【緊急お知らせ】Amazon異常ログインが見つかり」 まず、”[spam]”が付けられているのでこのメールは悪意のあるジャンクメールです。 「緊急お知らせ」ってところ見ただけで感じません? よその国の方だなと(笑) それになぜ最後まで書かないのか。。。中途半端過ぎです。 差出人は 「”Amazon.co.jp” <info@Amazon.co.jp>」 ”Amazon.co.jp”なんてそれらしいドメイン使ってますが、もちろん大嘘! だいたい、ドメインに大文字なんて使わないしね(笑) ではこの呆れたメールをヘッダーソースから調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<info@Amazon.co.jp>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20210908213729541353@Amazon.co.jp>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。 ここも偽装可能で鵜呑みにはできません。 | Received:「from Amazon.co.jp (unknown [118.107.56.146])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | 果たしてこのIPアドレスは”Amazon.co.jp”とマッチングするんでしょうか? するわけないけど、このIPアドレスを使って色々な情報を拾ってみましょう! まず、リモートホストがそのままIPアドレスになっています。 本当に差出人のメールアドレスのドメインが”Amazon.co.jp”ならここに”Amazon.co.jp”と 表示されるはずです。 因みに”Amazon.co.jp”を逆引きすると、出てきたIPアドレスは”52.119.164.121”となるので やはり差出人の”Received”にあったIPアドレスとは異なりますね。 そのIPアドレスが利用されている地域はシンガポールと出ましたので、この差出人が利用した メールサーバーは、このシンガポールにあるようです。 なぜ”Аmazon”の”A”だけ全角? だいたいこのメール、本文の宛名が「 Аmazon お客様」となっています。 普段アマゾンをお使いの方はご理解できると思いますが、アマゾンからのメールにある宛名は ユーザー登録時に入力したアカウント名で送られてくるはずです。 それに見てください下の図を、これはこのメールの本文をとあるエディタに貼付けてみた 図ですが、このエディタ全角文字だけ背景が赤くなる特殊なソフト。 よく見ると、このメールの”Аmazon”の”A”だけ全角なんです。 これちょいちょいあるんですが、意味が分かりませんよね? それに、宛名の後ろにHTML形式では見れなかった”[RECEIVER_ADDRESS]”なんて文字が 浮かび上がってきました。 私は、詐欺メールを調査する際必ずメールをテキスト表示に切り替えてみます。 すると時々HTML形式では見えなかったワードサラダや不思議な関数などが見えてくる 場合があります。 今回の”[RECEIVER_ADDRESS]”も関数のようで”レシーバーアドレス”と読みます。 意味は「受信者のアドレス」で、差出人はこの部分に受信者のそれを代入しようとしたけど どうやら失敗してるようです。 本文の内容はよく見かけるもので、アカウント情報が更新できなかったからリンクを辿って 情報を更新しろと言うもの。 そのリンクは「Аmazon ログイン」と書かれたリンクボタンに設けられています。 そのURLがこちらです。 わざわざ”amazon”のスペルを“amazom“にする必要があるんでしょうか?(笑) ここで使われている”amazom.rmusee.shop”ってドメイン、残念ながら申請登録者情報は 取得できませんでした。 でも、このドメインを使っているウェブサーバーのおおよその在りかは分かりました。 あくまでおおよそですが、アメリカニューヨーク州ジェネシー・モーゼルって街に 設置運営されているようです。 開くとこのようにアマゾンの偽のログイン画面が開きました。 いつも書きますが、サイトは全て著作権に守られています。 それをコピーすることは違反行為! 厳重に対応してほしいと思います。 まとめ もう件名から見るからにでしたね(笑) 中途半端だし、日本語が間違ってるし、宛名が「 Аmazon お客様」だし ”A”だけ全角だし(;^_^A よくこれで騙そうとするわ… いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |