『不正利用？』「amazon.com, action needed: Sign-in attempt」と、来た件

2022年5月9日

「Sign-in attempt」と書かれたメールが届いた

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

地球の裏側で誰かが私の…

ちょっと、マジでヤバいのが来た！
これは、私のGmail宛てにアメリカのアマゾンから届いたメールです。

翻訳してみます。

あなたのパスワードを知っている誰かがあなたのアカウントにサインインしようとしています。

いつ：2022年5月9日04:25AMブラジリア時間
デバイス：XboxOne用Amazonビデオ
近く：ミナスジェライス、ブラジル

承認または拒否。

このリンクをたどっても安全ですか？
このメールに記載されているリンクは「https://www.amazon.com」で始まります。
必要に応じて、次のリンクをコピーしてブラウザに貼り付けて表示します。

https://www.amazon.com/a/c/r/4ADS3pGqVYcj5u1d4ZAaRWG5O

わ~怖い！
どうやら、ブラジルのミナスジェライスって所から私のアカウントでログインしようとした者が
いたようですね。
でも、これ本当なのでしょうか？

では、このメールもプロパティーから見ていきましょう。

件名は
「amazon.com, action needed: Sign-in attempt」
これも訳してみると「amazon.com、必要なアクション：サインインの試み」
Gmailなのでこれがスパムだとしてもいつものように件名に”[spam]”は付けられいませんが
もしそうだとしたら、自動的に迷惑メールフォルダーに仕分けられますが、このメールは
しっかり受信箱にありました。

差出人は
「amazon.com <account-update@amazon.com>」
ん～、偽装かな？　それとも本当なのかな？

本物のAmazon.comからだ

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<20220509072541169b1a2be4d04ceb9c826d3d5d80p0na@bounces.amazon.com>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<01000180a7b5a97b-641d3dda-95ad-4467-a8a8-fc8214da2458-000000@email.amazonses.com>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from a13-35.smtp-out.amazonses.com (a13-35.smtp-out.amazonses.com. [54.240.13.35])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

まずは、”Received”に書かれている”a13-35.smtp-out.amazonses.com”について情報を取得してみます。

この結果から、割当てているIPアドレスは”Received”のIPアドレスと同じ”54.240.13.35”
これはこのメールアドレスは偽装されていないことを現わしています。
それに”Registrant Name: Hostmaster, Amazon Legal Dept.”と
”Registrant Organization: Amazon Technologies, Inc.”と書かれているので
Amazon.comからのメールで間違いありません。

サインインを阻止

私は、アマゾンのヘビーユーザーですが、それは日本のアマゾンであってアメリカのアマゾンでは
ありませんし、Gmailでユーザー登録した記憶もありません。
なので無視しておこうかなとも思いましたが、ちょっと気持ちが悪いので用心しながらリンクに
行ってみようかと。
そのリンクは「Approve or Deny.」と書かれた部分に張られていてそのリンク先のURLはこちら。

やはりちゃんと”Amazon.com”と正規ドメインが使われていますね。
本物だわ…
リンク先には「approved(承認)」と「Deny(拒否)」と2つのボタンが用意されていましたから
迷わず「Deny」を選択。
するとこのような画面が表示されました。

書かれているのを訳してみると。

ありがとうございました。サインインの試行は拒否されました。
このページを閉じることができます。
サインイン試行アクティビティ

もしもこれが日本のAmazonからだったら即パスワード変更となりますが、
今回は取合えずこれでいいのかな？(;^_^A

まとめ

前に一度Appleからもこのようなメールが届いたことがあります。
この時はパスワードも変更しましたが、今回は使ったことも無いようなアメリカのアマゾンなので
このまま様子を見ようかなと。
それにしてもこういった知識も必要な時代なのだとつくづく思う次第です。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)