一晩に何度もアカウントを停止される…今朝、メールボックスにあったアマゾンを名乗ったフィッシング詐欺メールの一覧です。 一晩で6回も停止されていますが、アマゾンってどれだけ私のアカウントを停止されば 気が済むのでしょうか?(笑) 本当にスパムには困ったものです…(;^_^A では今回は、この中からこちらメールにスポットを当ててご紹介していこうと思います。 あまり日本語が得意ではない方からのメールのようです。(笑) では、このメールをプロパティーから見ていきましょう。 件名は 「[spam] アカウントが停止されて、」 中途半端に切っちゃって、なんか歌や映画のタイトルのような件名ですね…(笑) このメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「カスタマーサービスセンター” <pinpon@hwa-mi.com>」 当たり前のように”amazon.co.jp”ではないメールドメインで送られてくるメール。 最近多いですね…(汗) まあこのメールアドレスもご本人のものかどうか…
嘘に更に嘘が発覚!では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<pinpon@hwa-mi.com>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<e008466f7c4ef2c7b4715a2212d4b6f9@hwa-mi.com>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from znserena.com (unknown [137.220.233.233])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
まず差出人のメールアドレスの信憑性について調べてみましょうか。 使われているドメインは”hwa-mi.com”です。 このドメインを割当てているIPアドレスは下図のように”210.172.183.41”です。 ”Received”にあったIPアドレスは”137.220.233.23”ですから全く異なります。 これは、この差出人はメールアドレスを偽装しているということを示しています。 では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。 東京都千代田区九段付近、なんか最近よく見る地図です。 プロバイダーは「Rackip Consultancy Pte. LTD」と書かれていますね。 こちらはどうやらシンガポールにある会社のようです。
そのIP、福島市ではなく杭州市では?では本文です。 相変わらずカタコトの日本語ですね。(;^_^A この方は、なんでも私のアカウントで異常なログインが発見されたと申しています。 日時、IPアドレス、装備、場所、などをご丁寧に教えてくださっています。 ただ、全部ウソですけどね(笑) このIPアドレスを元にその割り当て地を確認してみると中国の杭州市… 福島市じゃなかったっけ?(笑)
詐欺サイトは江東区付近にあり?!嘘八百を並べ受信者を不安にさせた挙句に誘導するのは黄色いリンクボタン。 りんくさきのURLはこちら。 まずこのサイトの危険度についてノートンの「セーブウェブ」で調べてみましたところ 注意が必要なサイトとして認識されていました。 このURLで使われているドメインは”up.donineresuner.com”です。 では引き続きこのドメインの持ち主や割り当て地なども調べたいと思います。 持ち主は、当サイトのご常連であるアメリカアリゾナ州フェニックスのとある企業様。 このドメインを割当てているIPアドレスは”83.229.4.43”って事なので、このIPアドレスを元に その割り当て地を確認してみます。 抽出された場所は東京都江東区付近。 利用されているプロバイダーは、ルクセンブルクにある「G-CORE LABS S.A.」 安全な方法を使ってリンクに接続してみると、当サイトでは見慣れたアマゾンのログイン ページがあっさりと表示されました。 ウイルスバスターにも遮断されないので、まだあまり危険として認識されていないようです。 危うきに近づかずですよ!
見事な「ワードサラダ」がさて、メールに戻りHTML形式で書かれているこのメールをテキスト表示に切換えてみると このように表示されました。(;^_^A HTMLの時とは違い、意味不明な記号や文字が埋め込まれています。 これじゃ普通では読めませんよね。 これは「ワードサラダ」と呼ばれる手法で、先に説明したメールサーバーに設置された 迷惑メールの仕分けをする「スパムフィルター」を混乱させるための手段です。 こうすることで、スパムメールとして認識されず”[spam]”と追記されたり迷惑メール フォルダーに振り分けられることなく受信者に届けることを目的としています。 でも、このメールは残念ながらうちのサーバーにしっかりと見抜かれてしまいましたね(笑)
まとめ久方ぶりに本格的な「ワードサラダ」を拝むことができました。 まあ、彼らの努力は残念ながら徒労に終わったわけですが… それにしてもわたし、どんだけアカウントを停止されば済むのでしょうか…(^^ゞ いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |