IPまで調べてるのか?! これはよくあるアマゾンになりすましアカウント情報を抜き取ろうとする詐欺メール。
ただし今までに無かった件名なのでご紹介しようと思います。
 不正なアクティビティとして書かれているのは、デバイス、IPアドレス、場所。
デバイスは、ブラウザが”Mozilla5.0”と書かれています。
そしてIPアドレスが”109.252.84.170”
このIPアドレスは本当にロシアで使われているものかどうか確認してみると…
差出人はちゃんと調べているのか、割り当て地はロシアのモスクワと出ました。 では、メールのプロパティーから見ていきます。 件名は
「[spam] 【Amazon】アカウント情報を時間内に更新してください」
アカウント情報を更新しろって、理由もなく唐突ですね。
でも”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「Amazon.co.jp <support-amazon.jp@ndihfok.cn>」
だめですよ、アマゾンを名乗っておきながらあからさまな中国ドメインは…
すぐにバレてしまいますよ。(笑)
脅威レベルは「高」! では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「<support-amazon.jp@ndihfok.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「<20211229030816216418@ndihfok.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from mail.ndihfok.cn (ndihfok.cn [106.75.100.34])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | では、この”Received”にあったIPアドレス”106.75.100.34”を使ってそのサーバーの
情報を拾ってみます。
やっぱり割り当て地は中国北京市。
そんなことより、このIPアドレスの危険度を見てください。
脅威レベルが「高」と出て、その種類は「メールによるサイバーアタック」とされています。
とても危険な香りがします。
中国北京市とロサンゼルスはいつもセット では、本文を見ていきます。 | 不正なアクティビティが検知されました 平素は、Amazonをご利用いただき、誠にありがとうございます。 誰かがあなたのAmazonアカウントにログインして商品を購入しようとしていることに
注意してください。
クレジットカードの盗難を防ぐため、ログイン後すぐに情報を更新してください。
あなたが24時間以内に確認できない場合は申し訳ありません。
あなたの財産の安全のために、このアカウントの使用を制限します。
あらかじめご理解ください。 デバイス: Mozilla/5.0 (Linux; Android 9; ANE-LX2J Build/HUAWEIANE-LX2J; wv)
AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/83.0.4103.106 Mobile
IPアドレス: 109.252.84.170
場所:ロシア,モスクワ 問題を解決するために下記より至急パスワードの変更と登録情報の更新を行ってください。
本件についてご迷惑をおかけしましたことをお詫び申し上げます。
何卒、よろしくお願い申し上げます。 | アマゾンを騙った詐欺メールは大抵の場合、カードが使えなかったので情報を更新しろや
新しいデバイスからログインがあった、とか今回のように第三者の不正利用を謳ったものが
そのほとんど。
そしてそれらに共通するのがメールに付けられたリンク。
結局それらの理由はこのリンクを押させるための”おとり”です。
そのリンク先はもちろん詐欺サイト!
今回のメールの場合は「アカウント情報を更新する」と書かれた黄色いボタンにリンクが
付けられています。
そのリンク先のURLがこちらです。
使われているドメインは”co.jp.olrzicf.cn”
またしても中国のドメインを使ったものです。 では、このドメインの情報を取得してみます。
やはり、中国の方が持ち主のようですね。 ここで取得できたこのドメインを割当てているIPアドレスは”155.94.179.39”です。
このIPアドレスを元にその割り当て地を調べてみます。
 その場所は「アメリカ,カリフォルニア州,ロサンゼルス」付近。
そう、中国北京市とロサンゼルスはセットで詐欺メールのご常連。
ここに設置されたウェブサーバーで詐欺サイトを展開しているようです。 リンク先で表示されるのはもちろんアマゾンの偽のログイン画面。
もう見飽きて反吐が出そう…(^^;
まとめ まず、アマゾンを称したメールで本文の冒頭に”宛名”の無いものは全て詐欺メールと
覚えておいて損はありません。
それでも心配ならスマホアプリからログインし確認してみてください。
間違ってもメールのリンクからログインしてはいけませんよ! いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
