ドメインに大文字はあり得ませんなんか、アマゾンからこのようなおかしなメールが届きました。 もちろん詐欺メールですのでご注意ください。 「親愛なるユーザーの皆さん、こんにちは。」から始まるメール。 「親愛なる」なんて日本人は使いませんよね? これ英語だと”dear”で英文のめーるを書く際の書き出しに使われる言葉。 なので、このメールは日本語に翻訳されたものと想像できます。 では、いつものようにメールのプロパティーから見ていきます。 まず件名。 「[spam] 払い戻しプロセス #25.253円」 “[spam]”は受信したうちのメールサーバーが危険を察知して付加したセキュリティー警告で スパムスタンプと呼ばれるもの。 これが付いているメールには悪意があると判断されています。 「払い戻しプロセス #25.253円」とあります。 ”#”の意味は不明ですが、どうやら何らかの理由で25,253円が払い戻されるようです。 普通、単位の区切りで用いられるのは”,”ですが、このメールの場合は”.”は使われているのに ”#”と相まって違和感を感じます。 差出人は 「REF#Amazon.co.jp <info@Amazon.co.jp>」 ”REF”と”#”にはどのような意味があるのでしょうか? Excelのエラー表示で”#REF”(リファレンス)ってのはよく遭遇しますが、これはや参照先 無効な場合に表示されるエラーです。 ここで書かれている”REF”は”reference”の略ではないかと思われます。 訳すと「参考」や「引用」を意味します。 なのでこの場合は「Amazon.co.jp」から参照とみるのが正解かと。 差出人のメールアドレスは”info@Amazon.co.jp”と書かれているのでアマゾンからかな? と思ってしまいそうですが、メールアドレスに大文字を使うことはありませんので このアドレスは怪しかないか?と「ピン!」と来てください。
では、このメールをヘッダーソースから調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<parsehplan@cpadmin.gapyar.ir>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 でも、既にこのメールの差出人アドレスと異なっているので偽装発覚です。 | Message-ID:「<E1mhV1b-0005RY-Rt@cpadmin.gapyar.ir>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from parsehplan by cpadmin.gapyar.ir with local (Exim 4.94.2)」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
どうやら、差出人の本当のメールアドレスは”parsehplan@cpadmin.gapyar.ir”っぽい。
中東イランからのメールだった!では、ここで使われているドメイン”cpadmin.gapyar.ir”を使ってそのサーバーの位置情報 などを拾ってみましょう! これがこのドメインの情報です。 持ち主は「イラン・ラザヴィー・ホラーサーン」に在住の方で、このドメインを割当てている IPアドレスは”91.99.72.212” では、このIPアドレスの割り当て地を調べてみます。 やはりこちらも「イラン」と特定されました。
詐欺サイトの旬は短しそして本文。 親愛なるユーザーの皆さん、こんにちは。 注文番号#2668806キャンセル、 25,253円がアカウントに返金されますログインして返金を承認してください |
またまた句読点のおかしなメールですね。(;^_^A 内容は、注文がキャンセルされたため25,253円返金されるのでリンクから手続きをしろ といった感じ。 で、付けられているリンクのURLがこちらです。 使われているドメインが”volksbakegde.com” このドメインも持ち主と割り当て地を確認してみます。 持ち主はアイスランドのレイキャビク在住の方。 残念ながらIPアドレスへの割り当ては破棄されていて取得できませんでした。 なので当然詐欺サイトも接続できない状態となっていました。
まとめ今回も、件名、差出人共に違和感があったので本文を見るまでなく詐欺メールと容易に 判断できるメールでした。 詐欺サイトの旬は短いもので、何らかの理由で既に閉鎖されていました。 ただ、いつ復活するか分かりませんので今後も注意が必要ですね。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |