『詐欺メール』「[重要]：【Amazonプライム会費のお支払い方法に問題があります】」と、来た件

メリークリスマス♪

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーの偽サイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取します。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

1. プライム会員標的の詐欺メール
2. 中国＆ロスアンゼルスはド定番
3. まとめ

プライム会員標的の詐欺メール

2021年名古屋のイヴは、残念ながらホワイトクリスマスには程遠いしとしと雨となりました。
皆さんのお住まいの地はどうでしたでしょうか？
どうやら巷の噂だと25日の夜から強烈な寒波との予報でご当地名古屋でも月曜の朝は積雪と
なりそうとニュースでしきりに警戒を呼び掛けています。
年末押し迫った月曜に混乱だけは避けたいのですがどうなることやら(汗)

さて、話は変わっていつもの通り詐欺メールのご紹介です。
これはアマゾンのプライム会員を対象にアマゾンに成りすましクレジットカード情報の情報を
盗み取ろうとするもの。
プライム会員がどれだけいるか知りませんが、プライム会員以外は完全にスルーです。

件名は
「[spam] [重要]：【Amazonプライム会費のお支払い方法に問題があります】」
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「Amazon Prime <prime-info@szzxc.shop>」
アマゾンを名乗っておきながら何ですかこのメールアドレスは。
嘘でもいいからアマゾンのドメインを使ってくださいよ…(笑)

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<prime-info@szzxc.shop>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<202112241724470817730@szzxc.shop>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from ebnlxgej (unknown [118.107.60.243])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。

隣国のソウルと出ました。
もちろんおおよその位置ですが、この辺りに設置されたメールサーバーを利用して
このメールが送られてきたようです。

中国＆ロスアンゼルスはド定番

本文を見ていきましょう。

○○○@○○○.○○○ 様

Amazon.co.jp プライムへ登録の際に設定いただいたお支払い方法認証の際にエラーが発生
しました。クレジットカードの確認で問題が検出されました。
セキュリティのため、クレジットカードの一時性をロックしています。
カードの安全性を再度使用するには、いくつかの情報を確認する必要があります。
エラーの原因は様々ですが、本エラーが発生する例としては、お支払い方法の有効期限が
切れている場合が多く見受けられます。
詳細の原因につきましてはご登録いただいたお支払手段の提供会社（クレジット会社等）に
お問合せ下さい。
この問題が24時闇以内に解決しない場合、不正に使用される可能性があるため、
クレジットカードを永久にロックする必要があります。

本メールは、ご登録されたメールアドレス宛に自動的に送信しています。
このEメールアドレスは配信専用です。このメッセージに返信しないようお願いいたします。
セキュリティ確保の観点から、「メールアドレス」欄を変更された場合のみ、変更前の
メールアドレス
にもこのメールを送信させていただいております。
Amazonプライムに登録したAmazon.co.jpのアカウントを使用してサインイン
登録済みのお支払手段の有効期限を更新、または新しく支払い手段を追加し、
「続行」ボタンをクリック

(見易いように適当に改行してあります)
私はアマゾンプライム会員ですが、アマゾンからのメールで宛名がメールアドレスだった
ことは今までに一度もありません。
アマゾンからのメールの宛名は必ず氏名で送られてきます。

文中の「クレジットカードの一時性をロックしています」ってくだり。
意味が分かりません。
たぶん”性”を間違って入力してしまったでしょう(笑)

さて、この段落の後「Amazonプライムに登録する」と書かれた黄色いボタンに詐欺サイト
へのリンクが付けられています。
そのリンク先のURLがこちらです。

サブドメインを含め使われているドメインは”primecentral.chenting.shop”
メールにも使われていた”.shop”ってドメイン。
きっと格安で取得できるんでしょうね。
”.xyz”と共に詐欺メールや詐欺サイトでよく見られるドメインです。
もちろんこれらを使っている全てのサイトが悪というわけではありませんよ！

このドメインについて情報を探ってみました。

持ち主は、どうやら中国の安徽省(あんきしょう)にお住まいの方。
IPアドレスの割り当て地はロシアとありますが、このサイトの割り当て地情報は眉唾。
この取得したIPアドレス”45.128.73.227”を使って別のサイトで詳しく調べてみます。

抽出されたのはアメリカロサンゼルス市庁舎付近。
これも当然おおよその位置情報なのはご承知ください。
このような場所で偽サイトを運営しているんですね。