今日の迷惑メール1(Amazon偽装)

2020年7月22日 16:01

最近、高頻度で迷惑メールフィルタをすり抜けて届く迷惑メールが多いため、こちらで紹介していきます。
迷惑メールフィルタ設定の参考にでもなればと思います。

今日届いたのがこちらのメール。

開封確認のビーコンを踏みたくないため、画像は非表示にしてます。

1回限りの Amazon アカウント仮パスワード
Amazon.co.jpをご利用いただき、ありがとうございます。
お客様のAmazonアカウントへ、端末またはアプリから登録が試みられました。
セキュリティ上の理由により、端末またはアプリの登録を一度解除した後で、再度登録しようとするとエラーメッセージが表示されます。お手数ですが以下の仮パスワードを使用して登録を行ってください。

だそうです。
Amazonからのメールを偽装していますね。
近年では本物そっくりの文面で送られてくるため、うっかりクリックしてしまう人も多いのではないでしょうか？

まずはヘッダを見てみましょう。

X-DTI-Virus-Check: checked
X-DTI-Recipient: <xxxx@xxxx.dti.ne.jp>
Return-Path: <accountupdate@amazon.co.jp>
Received: from mx02.cm.dti.ne.jp (mx02-fbp.cm.dti.ne.jp [10.236.71.126]) by store48-fbp.cm.dti.ne.jp (3.10pn) with ESMTP id 06M5O9Vs000651 for <xxxx@xxxx.dti.ne.jp>; Wed, 22 Jul 2020 14:24:09 +0900 (JST)
Received: from imx22.cm2.dti.ne.jp (imx22.silk.dream.jp [59.157.133.73]) by mx02.cm.dti.ne.jp (3.11g) with ESMTP id 06M5O9JI013094 for <xxxx@xxxx.dti.ne.jp>; Wed, 22 Jul 2020 14:24:09 +0900 (JST)
Received: from scpa302.cm2.dti.ne.jp (scpa302.cm2.dti.ne.jp [10.32.11.49]) by imx22.cm2.dti.ne.jp (3.11g) with ESMTP id 06M5O9WJ011007 for <xxxx@xxxx.dti.ne.jp>; Wed, 22 Jul 2020 14:24:09 +0900 (JST)
Received: from pps.filterd (scpa302.cm2.dti.ne.jp [127.0.0.1])
   by scpa302.cm2.dti.ne.jp (8.16.0.42/8.16.0.42) with SMTP id 06M5GNQ8027796
   for <xxxx@xxxx.dti.ne.jp>; Wed, 22 Jul 2020 14:24:09 +0900
Authentication-Results: cm2.dti.ne.jp;
   spf=permerror smtp.mailfrom=accountupdate@amazon.co.jp;
   dmarc=quarantine header.from=amazon.co.jp
Received: from amazon.co.jp ([113.120.150.187])
   by scpa302.cm2.dti.ne.jp with ESMTP id 32bsbm7sjs-1
   for <xxxx@xxxx.dti.ne.jp>; Wed, 22 Jul 2020 14:24:08 +0900
Message-ID: <571C8A5F1E727F1E17E26DE05B09A815@amazon.co.jp>
From: accountupdate <accountupdate@amazon.co.jp>
To: xxxx <xxxx@xxxx.dti.ne.jp>
Subject: =?utf-8?B?MeWbnumZkOOCiuOBriBBbWF6b24g44Ki44Kr44Km44Oz44OI5Luu44OR?=
   =?utf-8?B?44K544Ov44O844OJ?=
Date: Wed, 22 Jul 2020 13:23:55 +0800
MIME-Version: 1.0
Content-Type: multipart/alternative;
   boundary="----=_001_c98c6e2805e632e0_=----"
X-Priority: 3
X-Mailer: Ahpydj 5

届いたメールアドレスはxxxxでマスクしてます。
迷惑メールのブロック方法の一つとして、Recievedヘッダに怪しいホストがあればブロックする設定がありますが、おそらく送信元と思われるRecievedヘッダは、"amazon.co.jp ([113.120.150.187])" になってます。
これではホスト名で判断できませんね…

この送信元"113.120.150.187"をwhoisで調べてみると、「China Telecom」という中国の通信会社であることがわかりました。

% [whois.apnic.net]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

% Information related to '113.120.0.0 - 113.127.255.255'

% Abuse contact for '113.120.0.0 - 113.127.255.255' is 'anti-spam@ns.chinanet.cn.net'

inetnum:        113.120.0.0 - 113.127.255.255
netname:        CHINANET-SD
descr:          CHINANET SHANDONG PROVINCE NETWORK
descr:          China Telecom
descr:          No.31,jingrong street
descr:          Beijing 100032
country:        CN
admin-c:        CH93-AP
tech-c:         XR55-AP
remarks:        service provider
status:         ALLOCATED PORTABLE
mnt-by:         APNIC-HM
mnt-lower:      MAINT-CHINANET-SD
mnt-routes:     MAINT-CHINANET-SD
remarks:        --------------------------------------------------------
remarks:        To report network abuse, please contact mnt-irt
remarks:        For troubleshooting, please contact tech-c and admin-c
remarks:        Report invalid contact via www.apnic.net/invalidcontact
remarks:        --------------------------------------------------------
last-modified:  2016-05-04T00:15:18Z
source:         APNIC
mnt-irt:        IRT-CHINANET-CN

irt:            IRT-CHINANET-CN
address:        No.31 ,jingrong street,beijing
address:        100032
e-mail:         anti-spam@ns.chinanet.cn.net
abuse-mailbox:  anti-spam@ns.chinanet.cn.net
admin-c:        CH93-AP
tech-c:         CH93-AP
auth:           # Filtered
mnt-by:         MAINT-CHINANET
last-modified:  2010-11-15T00:31:55Z
source:         APNIC

person:         Chinanet Hostmaster
nic-hdl:        CH93-AP
e-mail:         anti-spam@ns.chinanet.cn.net
address:        No.31 ,jingrong street,beijing
address:        100032
phone:          +86-10-58501724
fax-no:         +86-10-58501724
country:        CN
mnt-by:         MAINT-CHINANET
last-modified:  2014-02-27T03:37:38Z
source:         APNIC

person:         Xin Ruosheng
nic-hdl:        XR55-AP
e-mail:         ipreport.sd@chinatelecom.cn
address:        No.999,    road    Shunhua,    Jinan,    Shandong    province,China
phone:          +86-531-83190000
fax-no:         +86-531-83190000
country:        CN
mnt-by:         MAINT-CHINANET-SD
last-modified:  2019-12-20T07:11:49Z
source:         APNIC

% This query was served by the APNIC Whois Service version 1.88.15-SNAPSHOT (WHOIS-JP3)

これでAmazonからのでないことがわかり、偽装メールと認定できました。

それでは、メールのリンクを誤って踏んでしまった場合はどこに飛ぶのでしょう？
メール本文中の「をご覧ください」のリンク先も調べてみました。

https://amazon.co.jp.z18b.cn/main.html?xxxx

xxxxの部分はクソ長いパラメータが付いてますが省略しました。
ドメインが.cnなので中国ですね。
一応このドメイン「z18b.cn」についてもwhois調べてみました。

Domain Name: z18b.cn
ROID: 20190806s10001s14855632-cn
Domain Status: ok
Registrant: 班东方
Registrant Contact Email: hup48377@eoopy.com
Sponsoring Registrar: 阿里云计算有限公司（万网）
Name Server: ns1.nodedns.net
Name Server: ns2.nodedns.net
Registration Time: 2019-08-06 15:37:00
Expiration Time: 2020-08-06 15:37:00
DNSSEC: unsigned

たいした情報は公開されていません。
ドメイン登録業者と思われるメールアドレスのドメイン「eoopy.com」も調べてみましたが、アメリカのアリゾナ州フェニックスにある会社が所有するドメインでした。
こちらは単なるドメイン登録業者と思われるので無関係でしょう。

しかしメールヘッダもここまで手の込んだ偽装されると機械的にフィルタするのが難しいですね。
現状では受信するたびにRecieved に書かれたIPの国籍を調べてフィルタするなんてことはできませんし。
ただこのメールはDateヘッダのタイムゾーンが+0800のため、タイムゾーンでのフィルタは効果がありそうです。
但しこのタイムゾーンの端末から送られてくるメールを全て迷惑メール判定してしまうのはなかなか乱暴で危険です。
fromのドメインがamazonやrakutenになっているなど、他の条件と組み合わせてフィルタする必要があります。

ということで皆さん、迷惑メールのフィッシングに気を付けましょう。

今日の迷惑メール1(Amazon偽装)

いいなと思ったら応援しよう！