「Amazon.co.jp ご登録のアカウント（名前、パスワード、その他個人情報）の確認」というメールを分析する【詐欺】

公開日:2020/1/30 最終更新日:2020/3/23

「Amazon.co.jp ご登録のアカウント（名前、パスワード、その他個人情報）の確認」というメールがきました。

このメールヘッダーを解析してみます。

送信元メールアドレスは、”amazon.co.jp” <support@amazon.co.jp>となっています。

From: "amazon.co.jp" <support@amazon.co.jp>

1	From: "amazon.co.jp" <support@amazon.co.jp>

ところが、リターンパスをみると、

Return-Path: <cqjjd@jun.net>

1	Return-Path: <cqjjd@jun.net>

となっています。

メルマガなどではこういうこともまあなくはいないですが、Amazonだというならこれはちょっと不審です。

リターンパスには大抵の場合真の送信者のメールアドレスが入っているので、初心者の人はまずここを見ると良いかも知れません。

では次にこのjun.netのwhois情報を調べてみます。

http://www.fabulous.com

1	http://www.fabulous.com

となっていて、ドメインパーキングになっているようです。

ではどこから送信されてきたのか、ホスト名、IPアドレスから追ってみましょう。

Received: from jun.net (v160-251-0-69.5t62.static.cnode.io [160.251.0.69])

1	Received: from jun.net (v160-251-0-69.5t62.static.cnode.io [160.251.0.69])

となっています。

v160-251-0-69.5t62.static.cnode.ioは、cnode.ioのサブドメインです。

cnode.ioのwhois情報を見てみます。

Domain Name: CNODE.IO
Registrar URL: www.onamae.com
Updated Date: 2019-11-01T20:45:18Z
Creation Date: 2015-07-16T01:45:37Z
Registry Expiry Date: 2021-07-16T01:45:37Z
Registrar Registration Expiration Date:
Registrar: GMO Internet, Inc. d/b/a Onamae.com

Domain Name: CNODE.IO

Registrar URL: www.onamae.com

Updated Date: 2019-11-01T20:45:18Z

Creation Date: 2015-07-16T01:45:37Z

Registry Expiry Date: 2021-07-16T01:45:37Z

Registrar Registration Expiration Date:

Registrar: GMO Internet, Inc. d/b/a Onamae.com

レジストラはGMOのお名前.comみたいですね。

IPアドレスを調べると、

descr:          GMO Internet, Inc.
country:        JP　　　→　（日本）

1 2	descr: GMO Internet, Inc. country: JP　　　→　（日本）

こちらもGMOのようですね。

いったいどこに誘導するつもりなのか、調べてみます。

メール本文はBase64でエンコードされているので、デコードします。

参考：Base64デコード（当サイト内無料ツール）

 <P>Аmazon に登録いただいたお客様に、Аmazonアカウントの情報更新をお届けします。<BR>残念ながら、Аmazonのアカウントを更新できませんでした。<BR>今回は、カードが期限切れになってるか、請求先住所が変更されたなど、さまざまな理由でカードの情報を更新できませんでした。</P>
                        <P><FONT color=#333333><SPAN 
                        style="FONT-SIZE: 14px">アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため 
                        <FONT size=3>Аmazon </FONT>アカウントの 
                        情報を確認する必要があります。下からアカウントをログインし、情報を更新してください。</SPAN></FONT><FONT 
                        color=#333333><BR><A class=button 
                        href="https://amazon.co.jp.updgkl.myhhkm.ph" 
                        target=_blank><STRONG><FONT color=black>Аmazon ログイン 
                        </FONT></STRONG></A></P>
                        <P><SPAN 
                        style="FONT-SIZE: 14px"><B>なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。</B></SPAN></P>

Аmazon に登録いただいたお客様に、Аmazonアカウントの情報更新をお届けします。 残念ながら、Аmazonのアカウントを更新できませんでした。 今回は、カードが期限切れになってるか、請求先住所が変更されたなど、さまざまな理由でカードの情報を更新できませんでした。

<SPAN

style="FONT-SIZE: 14px">アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため

Аmazon アカウントの

情報を確認する必要があります。下からアカウントをログインし、情報を更新してください。<FONT

color=#333333> <A class=button

href="https://amazon.co.jp.updgkl.myhhkm.ph"

target=_blank>Аmazon ログイン

</A>

<SPAN

style="FONT-SIZE: 14px">なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。

また例によって、リンク先URLの先頭にはhttps://amazon.co.jpがくっついていますね。

href="https://amazon.co.jp.updgkl.myhhkm.ph"

1	href="https://amazon.co.jp.updgkl.myhhkm.ph"

ただ、amazon.co.jp.updgkl.myhhkm.phはmyhhkm.phのサブドメインですから、myhhkm.phのwhoisやサーバーを調べてみます。

.phはフィリピンのドメインです。

WHOIS info for myhhkm.ph
Domain Name: myhhkm.ph
Creation Date:
Expiration Date:
Updated Date:
Registrar: Net-Chinese Co., Ltd.
Registrant Name: hui xiang ling
Registrant Organization:
Registrant Street: shan xi sheng an kang shi han yin xian cheng guan zhen nan hai hao 43hao
Registrant Street 2:
Registrant Street 3:
Registrant City: an kang shi
Registrant State/Province: shan xi
Registrant Postal Code: 235
Registrant Country: CN
Registrant Email: a15...@...
Name Server: hm2.alidns.com
Name Server: hm1.alidns.com

WHOIS info for myhhkm.ph

Domain Name: myhhkm.ph

Creation Date:

Expiration Date:

Updated Date:

Registrar: Net-Chinese Co., Ltd.

Registrant Name: hui xiang ling

Registrant Organization:

Registrant Street: shan xi sheng an kang shi han yin xian cheng guan zhen nan hai hao 43hao

Registrant Street 2:

Registrant Street 3:

Registrant City: an kang shi

Registrant State/Province: shan xi

Registrant Postal Code: 235

Registrant Country: CN

Registrant Email: a15...@...

Name Server: hm2.alidns.com

Name Server: hm1.alidns.com

ドメインレジストラは、中国のhttps://www.net-chinese.com.tw/でした。

amazon.co.jp.updgkl.myhhkm.phのIPアドレスを調べてみると143.92.48.223とのこと。

inetnum:	143.92.48.0 - 143.92.63.255
netname:	BGP48-0-63-255-HK
descr:	BGP CONSULTANCY PTE LTD
descr:	
country:	HK
admin-c:	RCPL3-AP
tech-c:	RCPL3-AP
status:	ALLOCATED NON-PORTABLE
mnt-by:	MAINT-RCPL-SG
mnt-irt:	IRT-RCPL-SG
last-modified:	2019-11-19T01:56:43Z
source:	APNIC

inetnum: 143.92.48.0 - 143.92.63.255

netname: BGP48-0-63-255-HK

descr: BGP CONSULTANCY PTE LTD

descr:

country: HK

admin-c: RCPL3-AP

tech-c: RCPL3-AP

status: ALLOCATED NON-PORTABLE

mnt-by: MAINT-RCPL-SG

mnt-irt: IRT-RCPL-SG

last-modified: 2019-11-19T01:56:43Z

source: APNIC

調べてみると、香港のクラウドホスティング会社のIPみたいですね。

ただ、管理者はこちらのようです。

irt:	IRT-RCPL-SG
address:	No. 3, Pemimpin Drive, # 07-04 Lip Hing, Industrial Building,, Singapore Singapore 576147
e-mail:	abuse@rackip.com
abuse-mailbox:	abuse@rackip.com
admin-c:	RCPL3-AP
tech-c:	RCPL3-AP
auth:	# Filtered
remarks:	abuse@rackip.com was validated on 2019-11-14
mnt-by:	MAINT-RCPL-SG
last-modified:	2019-11-14T02:49:46Z
source:	APNIC

irt: IRT-RCPL-SG

address: No. 3, Pemimpin Drive, # 07-04 Lip Hing, Industrial Building,, Singapore Singapore 576147

e-mail: abuse@rackip.com

abuse-mailbox: abuse@rackip.com

admin-c: RCPL3-AP

tech-c: RCPL3-AP

auth: # Filtered

remarks: abuse@rackip.com was validated on 2019-11-14

mnt-by: MAINT-RCPL-SG

last-modified: 2019-11-14T02:49:46Z

source: APNIC

rackip.com（RACKIP CONSULTANCY PTE LTD、シンガポール）という会社ができました。

どんな会社なのでしょうか。

確認してみると、IPV4アドレスを購入・販売・リースする、とあります。

つまり、上記のIPアドレスもそうしたIPアドレスである可能性があるということですね。

なお、このサイトにクロームでアクセスしてみると、以下のようにアクセス制限がかかります。

安全な形でアクセスしてみると、

上記のように、入力ページに飛ばすフィッシングサイトだと分かります。

要約すると、

中国のレジストラで管理しているフィリピンドメインを、シンガポールのIPV4アドレスの販売・リース会社から手に入れたIPを香港のクラウドに割り振り、フィッシングサイトを運営、そのフィッシングサイトに誘導するメールを、日本のGMOのサーバーを使って身元を偽装して配信している、と考えることができます。

Amazonが全然出てきませんね、出てくるのはアジアのサービスばかりです。

もちろん詐欺メールだというのは直感的にわかるかもしれませんが、こうして詳しく見てみるとそれが良くわかります。

※2020/03/14

同一タイトルで文面の異なるものが確認されています。

文面は以下の通りです。

Аmazon お客様

残念ながら、あなたのアカウント

Аmazon を更新できませんでした。

これは、カードが期限切れになったか。請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。

アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため

Аmazon 情報を確認する必要・ェあります。今アカウントを確認できます。

Аmazon ログイン

なお、24時間以内にご確認がない場合、誠に遺憾ながら、アカウントをロックさせていただくことを警告いたします。

パスワードを変更した覚えがない場合は、至急(03)-090-8848までお電話ください。

お知らせ:

パスワードは誰にも教えないでください。

個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。

オンラインアカウントごとに、異なるパスワードを使用してください。

どうぞよろしくお願いいたします。

Аmazon

(03)-090-8848という電話番号が出てきますが、決して電話しないようにしてください。

カテゴリ：フィッシング
タグ：Amazon,スパムメール,フィッシング詐欺

「Amazon.co.jp ご登録のアカウント（名前、パスワード、その他個人情報）の確認」というメールを分析する【詐欺】

関連記事

関連記事

Webサイトの改ざん復旧なら

人気記事

CCSIのサービス

無料ツール

「Amazon.co.jp ご登録のアカウント（名前、パスワード、その他個人情報）の確認」というメールを分析する【詐欺】

関連記事

関連記事

《対応した払込取扱票に限ります》というメールがフィッシング詐欺か検証する

Amazon.co.jp アカウント所有権の証明（名前、その他個人情報）の確認というメールがフィッシング詐欺か検証する

支払いの問題でApple IDがロックされました。【警告】というメールを解析してみる

Congratulation you have reward of 20,000JP from ANA, All Nippon Airwaysというメールが詐欺か分析する

【重要】お客様の【TS3 TS CUBIC CARDカード】が第三者に利用される恐れがあります。というメールがフィッシング詐欺か検証する

Webサイトの改ざん復旧なら

人気記事

CCSIのサービス

無料ツール