「Amazon.co.jp ご登録のアカウント（名前、パスワード、その他個人情報）の確認」というメールを分析する【詐欺】

公開日:2020/1/30 最終更新日:2020/3/23

「Amazon.co.jp ご登録のアカウント（名前、パスワード、その他個人情報）の確認」というメールがきました。

このメールヘッダーを解析してみます。

送信元メールアドレスは、”amazon.co.jp” <support@amazon.co.jp>となっています。

From: "amazon.co.jp" <support@amazon.co.jp>

1	From: "amazon.co.jp" <support@amazon.co.jp>

ところが、リターンパスをみると、

Return-Path: <cqjjd@jun.net>

1	Return-Path: <cqjjd@jun.net>

となっています。

メルマガなどではこういうこともまあなくはいないですが、Amazonだというならこれはちょっと不審です。

リターンパスには大抵の場合真の送信者のメールアドレスが入っているので、初心者の人はまずここを見ると良いかも知れません。

では次にこのjun.netのwhois情報を調べてみます。

http://www.fabulous.com

1	http://www.fabulous.com

となっていて、ドメインパーキングになっているようです。

ではどこから送信されてきたのか、ホスト名、IPアドレスから追ってみましょう。

Received: from jun.net (v160-251-0-69.5t62.static.cnode.io [160.251.0.69])

1	Received: from jun.net (v160-251-0-69.5t62.static.cnode.io [160.251.0.69])

となっています。

v160-251-0-69.5t62.static.cnode.ioは、cnode.ioのサブドメインです。

cnode.ioのwhois情報を見てみます。

Domain Name: CNODE.IO
Registrar URL: www.onamae.com
Updated Date: 2019-11-01T20:45:18Z
Creation Date: 2015-07-16T01:45:37Z
Registry Expiry Date: 2021-07-16T01:45:37Z
Registrar Registration Expiration Date:
Registrar: GMO Internet, Inc. d/b/a Onamae.com

Domain Name: CNODE.IO

Registrar URL: www.onamae.com

Updated Date: 2019-11-01T20:45:18Z

Creation Date: 2015-07-16T01:45:37Z

Registry Expiry Date: 2021-07-16T01:45:37Z

Registrar Registration Expiration Date:

Registrar: GMO Internet, Inc. d/b/a Onamae.com

レジストラはGMOのお名前.comみたいですね。

IPアドレスを調べると、

descr:          GMO Internet, Inc.
country:        JP　　　→　（日本）

1 2	descr: GMO Internet, Inc. country: JP　　　→　（日本）

こちらもGMOのようですね。

いったいどこに誘導するつもりなのか、調べてみます。

メール本文はBase64でエンコードされているので、デコードします。

参考：Base64デコード（当サイト内無料ツール）

 <P>Аmazon に登録いただいたお客様に、Аmazonアカウントの情報更新をお届けします。<BR>残念ながら、Аmazonのアカウントを更新できませんでした。<BR>今回は、カードが期限切れになってるか、請求先住所が変更されたなど、さまざまな理由でカードの情報を更新できませんでした。</P>
                        <P><FONT color=#333333><SPAN 
                        style="FONT-SIZE: 14px">アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため 
                        <FONT size=3>Аmazon </FONT>アカウントの 
                        情報を確認する必要があります。下からアカウントをログインし、情報を更新してください。</SPAN></FONT><FONT 
                        color=#333333><BR><A class=button 
                        href="https://amazon.co.jp.updgkl.myhhkm.ph" 
                        target=_blank><STRONG><FONT color=black>Аmazon ログイン 
                        </FONT></STRONG></A></P>
                        <P><SPAN 
                        style="FONT-SIZE: 14px"><B>なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。</B></SPAN></P>

Аmazon に登録いただいたお客様に、Аmazonアカウントの情報更新をお届けします。 残念ながら、Аmazonのアカウントを更新できませんでした。 今回は、カードが期限切れになってるか、請求先住所が変更されたなど、さまざまな理由でカードの情報を更新できませんでした。

<SPAN

style="FONT-SIZE: 14px">アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため

Аmazon アカウントの

情報を確認する必要があります。下からアカウントをログインし、情報を更新してください。<FONT

color=#333333> <A class=button

href="https://amazon.co.jp.updgkl.myhhkm.ph"

target=_blank>Аmazon ログイン

</A>

<SPAN

style="FONT-SIZE: 14px">なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。

また例によって、リンク先URLの先頭にはhttps://amazon.co.jpがくっついていますね。

href="https://amazon.co.jp.updgkl.myhhkm.ph"

1	href="https://amazon.co.jp.updgkl.myhhkm.ph"

ただ、amazon.co.jp.updgkl.myhhkm.phはmyhhkm.phのサブドメインですから、myhhkm.phのwhoisやサーバーを調べてみます。

.phはフィリピンのドメインです。

WHOIS info for myhhkm.ph
Domain Name: myhhkm.ph
Creation Date:
Expiration Date:
Updated Date:
Registrar: Net-Chinese Co., Ltd.
Registrant Name: hui xiang ling
Registrant Organization:
Registrant Street: shan xi sheng an kang shi han yin xian cheng guan zhen nan hai hao 43hao
Registrant Street 2:
Registrant Street 3:
Registrant City: an kang shi
Registrant State/Province: shan xi
Registrant Postal Code: 235
Registrant Country: CN
Registrant Email: a15...@...
Name Server: hm2.alidns.com
Name Server: hm1.alidns.com

WHOIS info for myhhkm.ph

Domain Name: myhhkm.ph

Creation Date:

Expiration Date:

Updated Date:

Registrar: Net-Chinese Co., Ltd.

Registrant Name: hui xiang ling

Registrant Organization:

Registrant Street: shan xi sheng an kang shi han yin xian cheng guan zhen nan hai hao 43hao

Registrant Street 2:

Registrant Street 3:

Registrant City: an kang shi

Registrant State/Province: shan xi

Registrant Postal Code: 235

Registrant Country: CN

Registrant Email: a15...@...

Name Server: hm2.alidns.com

Name Server: hm1.alidns.com

ドメインレジストラは、中国のhttps://www.net-chinese.com.tw/でした。

amazon.co.jp.updgkl.myhhkm.phのIPアドレスを調べてみると143.92.48.223とのこと。

inetnum:	143.92.48.0 - 143.92.63.255
netname:	BGP48-0-63-255-HK
descr:	BGP CONSULTANCY PTE LTD
descr:	
country:	HK
admin-c:	RCPL3-AP
tech-c:	RCPL3-AP
status:	ALLOCATED NON-PORTABLE
mnt-by:	MAINT-RCPL-SG
mnt-irt:	IRT-RCPL-SG
last-modified:	2019-11-19T01:56:43Z
source:	APNIC

inetnum: 143.92.48.0 - 143.92.63.255

netname: BGP48-0-63-255-HK

descr: BGP CONSULTANCY PTE LTD

descr:

country: HK

admin-c: RCPL3-AP

tech-c: RCPL3-AP

status: ALLOCATED NON-PORTABLE

mnt-by: MAINT-RCPL-SG

mnt-irt: IRT-RCPL-SG

last-modified: 2019-11-19T01:56:43Z

source: APNIC

調べてみると、香港のクラウドホスティング会社のIPみたいですね。

ただ、管理者はこちらのようです。

irt:	IRT-RCPL-SG
address:	No. 3, Pemimpin Drive, # 07-04 Lip Hing, Industrial Building,, Singapore Singapore 576147
e-mail:	abuse@rackip.com
abuse-mailbox:	abuse@rackip.com
admin-c:	RCPL3-AP
tech-c:	RCPL3-AP
auth:	# Filtered
remarks:	abuse@rackip.com was validated on 2019-11-14
mnt-by:	MAINT-RCPL-SG
last-modified:	2019-11-14T02:49:46Z
source:	APNIC

irt: IRT-RCPL-SG

address: No. 3, Pemimpin Drive, # 07-04 Lip Hing, Industrial Building,, Singapore Singapore 576147

e-mail: abuse@rackip.com

abuse-mailbox: abuse@rackip.com

admin-c: RCPL3-AP

tech-c: RCPL3-AP

auth: # Filtered

remarks: abuse@rackip.com was validated on 2019-11-14

mnt-by: MAINT-RCPL-SG

last-modified: 2019-11-14T02:49:46Z

source: APNIC

rackip.com（RACKIP CONSULTANCY PTE LTD、シンガポール）という会社ができました。

どんな会社なのでしょうか。

確認してみると、IPV4アドレスを購入・販売・リースする、とあります。

つまり、上記のIPアドレスもそうしたIPアドレスである可能性があるということですね。

なお、このサイトにクロームでアクセスしてみると、以下のようにアクセス制限がかかります。

安全な形でアクセスしてみると、

上記のように、入力ページに飛ばすフィッシングサイトだと分かります。

要約すると、

中国のレジストラで管理しているフィリピンドメインを、シンガポールのIPV4アドレスの販売・リース会社から手に入れたIPを香港のクラウドに割り振り、フィッシングサイトを運営、そのフィッシングサイトに誘導するメールを、日本のGMOのサーバーを使って身元を偽装して配信している、と考えることができます。

Amazonが全然出てきませんね、出てくるのはアジアのサービスばかりです。

もちろん詐欺メールだというのは直感的にわかるかもしれませんが、こうして詳しく見てみるとそれが良くわかります。

※2020/03/14

同一タイトルで文面の異なるものが確認されています。

文面は以下の通りです。

Аmazon お客様

残念ながら、あなたのアカウント

Аmazon を更新できませんでした。

これは、カードが期限切れになったか。請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。

アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため

Аmazon 情報を確認する必要・ェあります。今アカウントを確認できます。

Аmazon ログイン

なお、24時間以内にご確認がない場合、誠に遺憾ながら、アカウントをロックさせていただくことを警告いたします。

パスワードを変更した覚えがない場合は、至急(03)-090-8848までお電話ください。

お知らせ:

パスワードは誰にも教えないでください。

個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。

オンラインアカウントごとに、異なるパスワードを使用してください。

どうぞよろしくお願いいたします。

Аmazon