尻切れトンボな件名またまた、アマゾンに成りすまし日本語に少々難のあるフィッシング詐欺メールが届きました。 件名は 「[spam] ご利用の Amazon アカウントで異常な活動が検出されたため」 中途半端に尻切れトンボな件名ですよね。 「異常な活動」なんて言い方もとても不自然です。 そしてこのメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「アマゾン|Amazon <amazon-update@ulmukbd.cn>」 相変わらず、アマゾンと名乗っておきながらの中国ドメイン。 では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<amazon-update@ulmukbd.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20220212045758561461@ulmukbd.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from ulmukbd.cn (unknown [118.193.73.26])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
ではまず、このメールアドレス”amazon-update@ulmukbd.cn”が偽装されているかどうかを このドメインを割当てているPアドレスと”Received”のIPアドレスを比較して確認してみます。 割り出されたIPアドレスは”118.193.73.26”と”Received”のIPアドレスと同じ数字ですから この差出人はご自身のメールアドレスを利用したようです。 この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみました。 結果は、フィリピンのマニラ。 差出人は、この地に設置されたメールサーバーを利用したものと思われます。
詐欺サイトはマンハッタンに?!引続き本文を見ていきます。 まず、この本文委は宛名がありませんね。 アマゾンからのメールには、氏名が宛名として書かれていますが、このメールにはそれが ありません。 そして、へたくそな日本語。 きっとこれは機械翻訳された影響だと思われます。 フィッシング詐欺メールなので当然このメールにも詐欺サイトへのリンクが張られています。 それはページ末尾のオレンジ色のボタン。 そのリンク先のURLがこちらです。 まずはこのサイトの危険性をノートンの「セーフウエブ」で確認してみました。 これによると、注意が必要なサイトと出ています。 このURLで使われているドメインは”cqmingjia.com” 次にこのドメインの持ち主と利用地を確認してみました。 まず、ドメインの持ち主は、カナダの大都市のバンクーバーにある企業でした。 このドメインを割当てているIPアドレスは”107.174.68.166”とあるので、このIPアドレスを 割当てている地域を確認してみました。 結果はニューヨークのマンハッタン。 この地で運営されている詐欺サイトに接続してみると、普通にアマゾンのログイン画面が 表示されました。 もちろん偽サイトなのでご注意ください!
まとめ相変わらず中国ドメインのフィッシング詐欺メールが後を絶ちません。 もう、アマゾンの成りすましは日常茶飯事で来て当たり前の存在です…(^^;) そんな風潮でも騙される方がいるのも不思議です。 自分の身は自分で守りましょう! いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |