「Amazonアカウントを利用制限しています」というメールがフィッシング詐欺か検証する

公開日:2020/4/22 最終更新日:2020/5/5

「Amazonアカウントを利用制限しています」というメールがフィッシング詐欺か検証してみます。

プライバシーポリシーの改定したのでAmazonアカウント情報の確認をしてほしい、といった内容です。

文面は以下の通りです。

最近行われましたプライバシーポリシーの改定に伴いまして、お客様の Amazon アカウント情報のご確認をお願い致したく、よろしくお願い申し上げます。

ご確認のお手続きは、一回限りで、数分で終了致します。お客様によるご確認行為は必須となっており、お客様のアカウント情報のご確認が行われなかった場合は、アカウントが停止される可能性がございます。

この確認は義務付けられており、確認していただけない場合は、アカウントが停止される場合もあります。

続けるにはこちらをクリック

お客様のセキュリティは弊社にとって非常に重要なものでございます。

ご理解の程、よろしくお願い申し上げます。

Amazon.co.jp

まず送信元を確認します。

From: Amazon <tumhuwrutn@amazon.co.jp>
Return-Path: <tumhuwrutn@amazon.co.jp>

1 2	From: Amazon <tumhuwrutn@amazon.co.jp> Return-Path: <tumhuwrutn@amazon.co.jp>

送信者名はAmazonとなっており、送信元メールアドレス、Return-Pathともにtumhuwrutn@amazon.co.jpというメールアドレスが設定されています。

送信サーバーを調べてみると、

Received: from amazon.co.jp (v133-130-48-159.a005.g.tyo1.static.conoha.io [133.130.48.159])

1	Received: from amazon.co.jp (v133-130-48-159.a005.g.tyo1.static.conoha.io [133.130.48.159])

となっており、Amazon.co.jpとなっていますが、実態は日本のconohaサーバーのIPアドレスでした。

a. [IPネットワークアドレス]     133.130.48.0/23 (マスク範囲)
b. [ネットワーク名]             CONOHA-JP
f. [組織名]                     GMOインターネット
g. [Organization]               GMO Internet, Inc.
m. [管理者連絡窓口]             JP00080271
n. [技術連絡担当者]             JP00080271
p. [ネームサーバ]               ns-a1.conoha.io
p. [ネームサーバ]               ns-a2.conoha.io
p. [ネームサーバ]               ns-a3.conoha.io
[割当年月日]                    2015/04/24
[返却年月日]                    
[最終更新]                      2015/07/03 02:05:05(JST)

a. [IPネットワークアドレス] 133.130.48.0/23 (マスク範囲)

b. [ネットワーク名] CONOHA-JP

f. [組織名] GMOインターネット

g. [Organization] GMO Internet, Inc.

m. [管理者連絡窓口] JP00080271

n. [技術連絡担当者] JP00080271

p. [ネームサーバ] ns-a1.conoha.io

p. [ネームサーバ] ns-a2.conoha.io

p. [ネームサーバ] ns-a3.conoha.io

[割当年月日] 2015/04/24

[返却年月日]

[最終更新] 2015/07/03 02:05:05(JST)

次にリンク誘導先を調べてみます。

メール本文はBase64でエンコードされていますので、デコードします。

<A 
id=yui_3_2_0_1_15855002758652114 
href="http://amazon.co.jp.op8564687153d132k57e876tw5h12213rtj68r7863edg412r31sh3t54i86y[.]buzz/" 
rel=nofollow target=_blank>続けるにはこちらをクリック</A>

id=yui_3_2_0_1_15855002758652114

href="http://amazon.co.jp.op8564687153d132k57e876tw5h12213rtj68r7863edg412r31sh3t54i86y[.]buzz/"

rel=nofollow target=_blank>続けるにはこちらをクリック</A>

http://amazon.co.jp.op8564687153d132k57e876tw5h12213rtj68r7863edg412r31sh3t54i86y[.]buzzというリンク先に誘導しようとしています。

amazon.co.jp.op8564687153d132k57e876tw5h12213rtj68r7863edg412r31sh3t54i86y[.]buzzはop8564687153d132k57e876tw5h12213rtj68r7863edg412r31sh3t54i86y[.]buzzのサブドメインです。

このドメインのWhois情報を調べてみます。

Domain Name: op8564687153d132k57e876tw5h12213rtj68r7863edg412r31sh3t54i86y.buzz
Registry Domain ID: DD6BCCB54417A4416A9AA1E9FC64ED1F1-NSR
Registrar WHOIS Server: whois.namesilo.com
Registrar URL: https://www.namesilo.com/
Updated Date: 2020-04-21T07:00:00Z
Creation Date: 2020-04-14T07:00:00Z
Registrar Registration Expiration Date: 2021-04-14T07:00:00Z
Registrar: NameSilo, LLC
Registrar IANA ID: 1479
Registrar Abuse Contact Email: abuse@namesilo.com
Registrar Abuse Contact Phone: +1.4805240066
Domain Status: clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited
Registry Registrant ID: 
Registrant Name: Domain Administrator
Registrant Organization: See PrivacyGuardian.org
Registrant Street: 1928 E. Highland Ave. Ste F104 PMB# 255
Registrant City: Phoenix
Registrant State/Province: AZ
Registrant Postal Code: 85016
Registrant Country: US
Registrant Phone: +1.3478717726
Registrant Phone Ext: 
Registrant Fax: 
Registrant Fax Ext: 
Registrant Email: pw-193cccaeeb22283055ed6b6bf3faecde@privacyguardian.org