「Amazon Services Japanクレジットカード有効期限が切れています」というメールがフィッシング詐欺か検証する

公開日:2020/4/27 最終更新日:2020/5/5

「Amazon Services Japanクレジットカード有効期限が切れています」というメールがフィッシング詐欺か検証します。

Amazonプライムに登録してあるクレジットカードが有効期限切れなので更新して欲しいといった内容です。

文面は以下の通りです。

Amazonお客様

Amazonプライムをご利用いただきありがとうございます。お客様のAmazonプライム会員資格は、2020/03/05に更新を迎えます。お調べしたところ、回避のお支払いに使用できる有効なクレジットカードがアカウントに登録されていません。クレジットカード情報の更新、新しいクレジットカードの追加については、以下の手順をご確認ください。

１、アカウントサービスからAmazonプライム会員情報を管理するにアクセスします。

２、Amazonプライムに登録したAmazon.co.jpのアカウントを使用してサインインします。

３、左側に表示されている「現在の支払い方法」の下にある「支払方法を変更する」のリンクをクリックします。

４、有効期限の更新または新しいクレジットカード情報を入力してください。

Amazonログイン ›

Amazonプライムを継続してご利用いただくために、会費のお支払いにご指定いただいたクレジットカードが使用できない場合は、アカウントに登録されている別のクレジットカードに会費を請求させて頂きます。会費の請求ができない場合は、お客様のAmazonプライム会員資格は失効し、特典をご利用できなくなります。

Amazon.co.jpカスタマーサービス

※ このEメールは配信専用です。ご返信いただかないようお願いいたします。

※ 本メール記載のURLは配信システムにて自動的に割り振られるため、遷移先のURLと異なる場合がありますが Amazonが提供するコンテンツに遷移します。

※ お客様の個人情報は、プライバシー規約に従って収集・利用・管理されます。

発行：アマゾンジャパン合同会社

住所：東京都目黒区下目黒1-8-1

問い合せ先

配信停止

© 2019 Amazon.com, Inc. or its affiliates. All rights reserved. 無断転載・複製を禁止します。

Amazon, Amazon.co.jp, アマゾン、 Amazon Services, Amazon出品サービス、その他Amazonのサービスに係る名称・ロゴは、Amazon.com, Inc.またはその関連会社の商標です。

まずはメールヘッダーから送信元を調べてみます。

From: Amazon Services Japan <tiger@ffg.lanshanyu.com>
Return-Path: <tiger@ffg.lanshanyu.com>

1 2	From: Amazon Services Japan <tiger@ffg.lanshanyu.com> Return-Path: <tiger@ffg.lanshanyu.com>

Amazon Services Japan という送信者名になっていますが、送信元メールアドレスもReturn-Pathもtiger@ffg.lanshanyu.com とAmazonとは全く関係のないメールアドレスです。

送信元のサーバーも調べてみます。

Received: from ffg.lanshanyu.com (ffg.lanshanyu.com [45.138.97.220])

1	Received: from ffg.lanshanyu.com (ffg.lanshanyu.com [45.138.97.220])

45.138.97.220というIPアドレスが出てきました。

このIPアドレスを調べてみると、ドイツに割り当てられたIPアドレスでした。

inetnum:        45.138.97.0 - 45.138.97.255
netname:        VIRTONO-CLIENTS
country:        DE　　　→　（ドイツ）
org:            ORG-VNS11-RIPE
admin-c:        DD14236-RIPE
admin-c:        CD8898-RIPE
abuse-c:        AR52546-RIPE
tech-c:         DD14236-RIPE
admin-c:        CD8898-RIPE
status:         ASSIGNED PA
mnt-by:         ro-btel2-1-mnt
mnt-by:         mnt-ro-virtono-1
created:        2019-08-07T18:45:28Z
last-modified:  2019-08-14T17:59:35Z
source:         RIPE

inetnum: 45.138.97.0 - 45.138.97.255

netname: VIRTONO-CLIENTS

country: DE　　　→　（ドイツ）

org: ORG-VNS11-RIPE

admin-c: DD14236-RIPE

admin-c: CD8898-RIPE

abuse-c: AR52546-RIPE

tech-c: DD14236-RIPE

admin-c: CD8898-RIPE

status: ASSIGNED PA

mnt-by: ro-btel2-1-mnt

mnt-by: mnt-ro-virtono-1

created: 2019-08-07T18:45:28Z

last-modified: 2019-08-14T17:59:35Z

source: RIPE

さらにこのドメインのWhois情報を調べてみます。

Domain Name: lanshanyu.com
Registry Domain ID: 2131880776_DOMAIN_COM-VRSN
Registrar WHOIS Server: grs-whois.hichina.com
Registrar URL: http://whois.aliyun.com
Updated Date: 2020-04-24T04:48:25Z
Creation Date: 2017-06-08T14:06:23Z
Registrar Registration Expiration Date: 2020-06-08T14:06:23Z
Registrar: Alibaba Cloud Computing (Beijing) Co., Ltd.
Registrar IANA ID: 420
Reseller:
Domain Status: ok https://icann.org/epp#ok
Registrant City: 
Registrant State/Province: bei jing
Registrant Country: CN
Registrant Email:https://whois.aliyun.com/whois/whoisForm
Registry Registrant ID: Not Available From Registry
Name Server: NS1.DNS.COM
Name Server: NS2.DNS.COM
DNSSEC: unsigned
Registrar Abuse Contact Email: DomainAbuse@service.aliyun.com
Registrar Abuse Contact Phone: +86.95187
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/

Domain Name: lanshanyu.com

Registry Domain ID: 2131880776_DOMAIN_COM-VRSN

Registrar WHOIS Server: grs-whois.hichina.com

Registrar URL: http://whois.aliyun.com

Updated Date: 2020-04-24T04:48:25Z

Creation Date: 2017-06-08T14:06:23Z

Registrar Registration Expiration Date: 2020-06-08T14:06:23Z

Registrar: Alibaba Cloud Computing (Beijing) Co., Ltd.

Registrar IANA ID: 420

Reseller:

Domain Status: ok https://icann.org/epp#ok

Registrant City:

Registrant State/Province: bei jing

Registrant Country: CN

Registrant Email:https://whois.aliyun.com/whois/whoisForm

Registry Registrant ID: Not Available From Registry

Name Server: NS1.DNS.COM

Name Server: NS2.DNS.COM

DNSSEC: unsigned

Registrar Abuse Contact Email: DomainAbuse@service.aliyun.com

Registrar Abuse Contact Phone: +86.95187

URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/

このドメインはアリババで取得されており登録者は中国のようです。

次に、リンクの誘導先について調べてみます。

メール本文をbase64でデコードします。

すると、

<A href="http://ghyjgyftsd.opmtd[.]cn/">Amazonログイン&nbsp;›</A>

1	<A href="http://ghyjgyftsd.opmtd[.]cn/">Amazonログイン ›</A>

というcnドメイン（中国ドメイン）のリンク先が出てきました。

このドメインがopmtd[.]cnのサブドメインです。

Whois情報を調べてみます。

Domain Name: opmtd.cn
ROID: 20190510s10001s11912155-cn
Domain Status: ok
Registrant ID: al49h1h48j8g538
Registrant: 姜亚波
Registrant Contact Email: removed email address
Sponsoring Registrar: 阿里云计算有限公司（万网）
Name Server: dns17.hichina.com
Name Server: dns18.hichina.com
Registration Time: 2019-05-10 22:59:43
Expiration Time: 2020-05-10 22:59:43
DNSSEC: unsigned