みなさん、こんにちは!
ブリュの公式ブログ.netにお越しいただきまして、ありがとうございます。
このサイトでは、ITについて特化したサイトを運営しています。
今回は、Amazonを装った『[緊急の通知] 支払方法の情報を更新する!』の迷惑メールについて紹介します。
早い話が、非常に危険性の高いメールです。
- クレジットカードの情報を入力しろ
- Amazonプライム会員の返金がある
これらはすべて詐欺です。
もしもクレジットカード情報を入力してしまった場合には、今すぐにカード会社に連絡して、カードの無効化処置を行ってください。
私が確認したところ、リンクをクリックしただけでは、特に何も問題は生じませんでした。
リンクを踏んでしまって心配な方は、パソコンに異常がない場合には、とりあえず安心しても大丈夫でしょう。
もしも変なソフトをインストールしてしまったという心当たりがあるのであれば、怪しいソフトをアンインストールする必要があります。
目次
迷惑メール:『[緊急の通知] 支払方法の情報を更新する!』の全文
[緊急の通知] 支払方法の情報を更新する!というタイトルの迷惑メールの全文です。
題名:[緊急の通知] 支払方法の情報を更新する!
From:amazon.jp(amazon0000010@amazoen.cn)
本文
Amazonプライム をご利用いただき、ありがとうございます。
お客様のご希望により、Amazonプライムの会員登録をキャンセルしました。 Amazonプライムの特典を利用されておりませんので、お客様の会費400円を返金いたします(現在会費を請求中の場合は完了するまで返金できませんのでご了承ください)。会費の請求が完了している場合は、通常1から3営業日程度で返金は完了いたします。
会員登録をご希望される場合は、Amazonプライム登録ページから再度ご登録ください。
支払方法の情報を更新する(詐欺サイトへのリンクになっている)
Amazonプライムのサービスをご利用いただき、ありがとうございます。
この迷惑メールはHTMLで送信されており、見た目のデザインは下の画像の様になています。
私自身、ブログ執筆のために、そして迷惑メール、詐欺メールの被害者撲滅のためにわざとリンクを踏んでレポートしています。
過去に4回迷惑メールと対峙しています。
これらの迷惑メールの相手をすることで、クレジットカードの情報を入力を促す詐欺メールが届く可能性があると、散々書いてきました。
ついに!
私にもその瞬間が来ました!
この危険極まりない迷惑メールに関して、詐欺サイトに正面から挑みます!
中国からの詐欺メール
このメールの送信元は中国です。
メールの送信ドメインが、「amazoen.cn」であり、.cnが中国を意味しています。
そして、Whois情報を調べると、個人情報を見事に公開していました!
画像は、「SEOチェキ!」でのWhois検索結果です。
ご丁寧に連絡先のGmailまで掲載してくれています!
Whois情報から会社の位置らしきものも特定しました!
訪問の際は営業時間をご確認ください!(大嘘)
なお、詐欺を行う集団ですから、Whois情報が本当に正しいとは限りません。
あっさりと詐欺を行ってしまうぐらいなので、何かしらの抜け道で架空の情報を登録している可能性もあります。
この点において、まだ疑問の余地は残っていることに留意してください。
GoogleとFirefoxではアクセスがブロックされる!
Googleの仕事の速さがすごいです。
すでに詐欺サイト認定して、Google ChromeとFirefoxではアクセスが遮断されるようになっていました。
Google Chrome
Google Chromeでは、真っ赤な画面で警告されます。
偽のサイトにアクセスしようとしています
www.amszones.com では、悪意のあるユーザーによって、ソフトウェアのインストールや個人情報(パスワード、電話番号、クレジット カードなど)の入力といった危険な操作を行うよう誘導される可能性があります。詳細一部のシステム情報とページのコンテンツを Google に送信して、セーフ ブラウジングの改善にご協力ください。
こんな画面が出てきたら、誰も先に進もうとはしないでしょう。
さすがは、ウェブ業界の神であるGoogleです。
Googleは、世界中からネット犯罪をなくすために絶え間ない努力をしている会社です。
こうした、詐欺サイトについても、情報の察知が速いですね。
URL欄には▲危険と表示されています。
これは偽のサイトです
このサイトを利用すると、悪意のあるユーザーによって、ソフトウェアのインストールや個人情報(例:パスワード、電話番号、クレジットカード番号)の入力など危険な操作を行うよう誘導される可能性があります。
まさにこれです。
私自身がアクセスしたときには、Google Chromeでは、このように接続自体がブロックされてしまい、詐欺サイトの全容を知ることができませんでした。
Firefox
次にFirefoxでアクセスしてみます。
FirefoxはGoogleと関係性の深いブラウザなので、同じような挙動となりました。
この先は詐欺サイトです
このページは、危険なソフトウェアをインストールさせたりパスワードやクレジットカード番号などの個人情報を盗み取られるなどの危険性があるため、Firefox によりブロックされました。
勧告の提供者: Google Safe Browsing。
最近のブラウザはすごいですよね。
ウイルスセキュリティソフトが働く前にブロックするのですから。
Google Chromeとは違い、URLの欄には特に何も書いていません。
「この接続は安全ではありません」と書いているのは、このサイトが詐欺サイトという意味ではなく、暗号化されていない通信、つまりSSL通信に対応していないことを示すもので、ウェブサイトの本質的な安全性・健全性を示しているものではありません。
どうしても詐欺サイトにアクセスしたいので、Edgeを使ってアクセスしてみることにしました。
※絶対にマネしないでください。
Edgeで無理やりアクセスしてみた。
マイクロソフトが提供しているEdgeを使ってアクセスしてみるも、永遠にアクセスできませんでした。
どうやら、サイト自体が削除されているようです。
詐欺サイトの情報を可能な限り追求した
このAmazonを装った詐欺サイトについて、関連するドメインをあらゆる手段を用いてリストアップしてみましょう。
IPアドレス情報
まず、祭儀サイトのドメインとして設定されている「amszones.com」のIPアドレスは、「154.221.23.244」です。
ホスト名が不明となっているので、個人運営のサーバーでしょう。
詐欺専用に、個人で運営しているサーバーだと見当が付きます。
では、IPアドレスから地域を調べると、「香港」となりました。
元々が中国の詐欺集団である可能性を考慮すると、妥当な結果といえます。
香港は誰でも知っている場所ですが、GoogleMapを添付します。
そして、香港のサーバーまでのアクセス経路を調べるために、tracertコマンドを実行しました。
すると、IPアドレスが63.223.17.94まで行くと、その後はタイムアウトとなり、情報がわかりませんでした。
詳細のIPアドレスを書くと、
- 63-222-57-53.static.pccwglobal.net [63.222.57.53]
- HundredGE0-7-0-0.br02.hkg15.pccwbtn.net [63.223.17.94]
- HundredGE0-7-0-0.br02.hkg15.pccwbtn.net [63.223.17.94](同じルーターを2回通っている)
となります。
これらすべてのIPアドレスに関して国を調べると、アメリカ合衆国となりました。
つまり、経路的に見れば、日本→アメリカ→香港という経路になっています。
なぜか複雑な経路を走っていますね。
詐欺ページの過去の情報を調べる
インターネットアーカイブという無料サービスがあり、このサービスを利用して、詐欺サイトの過去の状態を調べてみました。
なお、インターネットアーカイブ自体は安全なサイトなのですが、取得データー内にスクリプトが含まれており不自然な動作をしました。
危険なので、すべてスクリーンショットで公開しますが、決して真似はしないでください。
すると、2018年8月7日分のデーターが残っていました。
少なくとも、1年以上前から詐欺行為に及んでいたことがわかります。
この時のデーターを見ると、HTMLの生データーやスクリーンショットを確認することはできなかったのですが、301リダイレクトにより転送が行われていたようです。
転送先のドメインは、「test.gamereward.io」です。
これはサブドメイン形式になっているので、独自ドメイン部分は「gamereward.io」となります。
.ipは「イギリス領インド洋地域」に与えられているccTLDです。
.jpのイギリス版みたいなイメージであり、多国籍な詐欺サイトとなっています。
さて、この後、変なスクリプトが動作し、次の画面に自動で遷移しました。
不意にスクリプトが動作するのは、マトモなサイトではありえない動作です。
転送された先のサイトは、インターネットアーカイブ内でしたので安全でしたが、実際の詐欺サイトでは何か怪しい動作を行っていたのでしょう。
Whois情報を調べた
最後に、詐欺ドメインである「amszones.com」のWhois情報について調べました。
当然のことながら、Whois代理公開が行われているので、相手の身元の特定は不可能です。
しかし、ドメインレジストラの所在地で、おおよその国ぐらいは特定できるでしょう。
お名前.comにおいてWhois情報を調べた結果、次の画面になりました。
ドメイン会社はGoDaddyという会社の様です。
本社はアメリカですが、世界展開している世界最大のドメインレジストラの様です。
GoDaddyの中国語のページも存在したことから、中国でもGoDaddyを利用することが可能です。
より中国の可能性が高くなってきました。
詐欺ドメインgamereward.ioの情報を調べる
先ほども書いたように、今回の詐欺サイトのドメインであるamszones.comは、過去にはgamereward.ioに転送されていました。
つまり、この2つのドメインの持ち主は同じである可能性が高いことになります。
では、gamereward.ioの詳細を調べてみました。
IPアドレスの情報
gamereward.ioドメインのIPアドレスは、95.179.128.62で、ホスト名は「95.179.128.62.vultr.com」でした。
IPアドレスの情報から国を調べてみると、オランダとなりました。
う~ん。
世界中を拠点にしている詐欺サイトなのでしょうか。
では、ホスト名のvultr.comについて調べてみました。
すると、VPS(=仮想レンタルサーバー)の運営会社であり、特に害のある会社ではありませんでした。
本社所在地は、「アメリカ、ニュージャージー州のマンハッタン」となっています。
ただ、このVULTRという会社は、世界16か国にサーバーを設置しているようです。
公式サイトの和訳したスクリーンショットです。
さきほど、IPアドレスから所在地がオランダであると書きましたが、このレンタルサーバーはオランダにも展開しているようです。
したがって、サーバー所在地は、アムステルダムということがわかりました。
また、中国語のページも存在していることから、中国の詐欺集団であっても利用が可能なはずです。
ここまでピンポイントに特定できる例も珍しいでしょう。
gamereward.ioのWhois情報
amszones.comと同様に、お名前.comのWhois検索により、ドメインの登録会社の確認を行いました。
すると、先ほどと同じ、GoDaddyというアメリカのドメイン会社でした。
結論:アメリカを利用した中国の詐欺集団
さて、ここまで集めた詐欺集団の情報から、アメリカを利用した中国の詐欺集団であるということがわかります。
もう一度確認しましょう。
- 送信してきたメールアドレスのドメインが.cnだった。→中国確定
- 詐欺用の2つのドメインはアメリカを本社とする「GoDaddy」という会社で登録→中国で利用可能
- オランダ アムステルダムにあるサーバーは、アメリカを本社とする「VULTR」という会社のもの
- 香港にあるサーバーはホスト名不明だが、アクセス時にアメリカを経由している
これらを総合すれば、アメリカを利用した中国の詐欺集団と言えるでしょう。
身元を消すのがうまいですね。
素晴らしい詐欺集団です。
迷惑メール情報:危険度高!Amazonを装った『[緊急の通知] 支払方法の情報を更新する!』は中国の詐欺サイトのまとめ
ここまで、『[緊急の通知] 支払方法の情報を更新する!』というタイトルの迷惑メールについて、詳細を調べてきました。
関連するドメインを徹底的に調べた結果、おそらく中国の詐欺集団とみることができるでしょう。
典型的な詐欺サイトであり、危険度の非常に高い迷惑メールです。
もしもメールフォルダに届いていたら、開封せずに削除してください。
ここまで身元を消すことがうまい詐欺集団であれば、ウイルスを仕込むことも手慣れたものでしょう。
関わらないのが一番です。
以上、『[緊急の通知] 支払方法の情報を更新する!』というタイトルの迷惑メールについて、参考になれば幸いです。
