件名の”、”で墓穴掘る何とも中途半端な件名でアマゾンを名乗ったフィッシング詐欺メールが届きました。 そのメールがこちらです。(クリックで拡大)  本文にも所々違和感のあるこのメール。 では、プロパティーから見ていきましょう。 件名は 「[spam] Amazonにご登録いただいたお客様に、」 末尾に”、”を入れなきゃ違和感なかったのに墓穴掘っちゃいましたね…(笑) それ以前にこのメールには”[spam]”とスタンプが付けられているので迷惑メールの類。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「Amazon.co.jp <Amazonjp-update-account@piztptf.cn>」 ”Amazon.co.jp”と名乗っているのになぜに中国のトップレベルドメインなの? それに”piztptf”なんてアマゾンには全く関係の無いドメインだし。
ドメインの登録者はご常連さんでは、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<Amazonjp-update-account@piztptf.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<003f3266c3d6$428b6dd7$c55e73e1$@fotjkwaa>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from piztptf.cn (unknown [137.220.182.98])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、この”Return-Path”にあったドメイン”piztptf.cn”を使ってその情報を拾ってみました。 結果は以下の通りです。  割当てているIPアドレスは”137.220.182.98”と”Received”にあったものと同じなので この差出人はメールアドレスの偽装を行っていないことも分かりました。 このIPアドレスを元にその割り当て地を確認してみます。  割り当て地は、おおよそですが「東京都 千代田区 九段南」 このIPアドレスの危険度を示す脅威レベルは「高」と書かれているので既にこのIPアドレスは 危険だと周知されているようです。
どうやら日本語が得意ではないようで…では本文を見ていきましょう。  (クリックで拡大) 詳しくは図中の書き込みをご覧いただくとして、このメールの最大の目的はリンクを押させ 受取人を詐欺サイトに導くこと。 そのリンク先のURLはこちら。  まずはいつもの通り、このURLで接続されるリンク先の危険度についてトレンドマイクロの 「サイトセーフティーセンター」で確認してみます。  結果はご覧の通り。 安全性の評価は「危険」 サイトのカテゴリは「フィッシング」 とされています。 やはりこのリンク先も既に危険なサイトとして認識されているようですね。 このURLで使われているドメインは、サブドメインも含め”amazon.co.jp.fjpwaaj.cn” ドメイン部分は”amazon.co.jp”ではなく”fjpwaaj.cn”であることに注目してください。 このドメインもいつものように検索してみました。  割出されたIPアドレスは”155.94.228.220” では、このIPアドレスを元にその割り当て地を確認してみます。  結果はロサンゼルス付近。 リンク先のサイトは、わざわざ行くまでも無くアマゾンの偽のログインページ。 日に何度も送られてくるのでもう見飽きてしまいました。 
まとめアマゾンの成りすましメールは本当に多くあります。 プライム会員費の支払いが上手くいかなかったとか、第三者不正利用の疑いがあるとか 様々な難癖をつけてりんくを押させようとします。 アマゾンからのメールで、本文の冒頭にある宛名は必ず会員の氏名が書かれ、メールアドレス で書かれることはありませんのでご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |