にしし ふぁくとりー:西村文宏 個人サイト

Presented by Nishishi via Movable Type. Last Updated: 2020/07/28. 20:16:33.

一瞬だけ本当にAmazonから送信されてきたのかと思ったスパムメール

たいていのスパムメールは見たら分かるのだけど

Amazonや楽天などの有名ECサイトや銀行を騙って個人情報を抜き取ろうとするスパムメール(というか詐欺メール)の類いは、たいていは差出人アドレスを見ればスパムだと一目瞭然なものが多数あります。感覚としては(私宛に届く有名会社詐称スパムの)9割以上がそんな感じです。

メールの差出人アドレスの詐称は技術的にはとても簡単にできるのにそうしないスパムが多いのは、そうしなくても引っかかる人がたくさん居るからなのでしょうかね。

特に画面の狭いモバイル端末用のメーラアプリだと、差出人名は表示されてもメールアドレスまではデフォルトでは表示されない(ことが多そうな)ので、そこまで確認しようとする人が少ないのかもしれません。(特に「本当はメールなのに、LINEのような会話風に見える」アプリでは、差出人アドレスを表示する機能がそもそもない場合もあるようなのでちょっと危険だと思います。そのようなアプリは限られた人との間だけに留めておいて、一般のメーラとしては使わないでおく方が良いでしょう。)

何にせよスパムメールの大半は件名と差出人名を見ただけで判別できますし、そうでなくても本文を見ればすぐにスパムだと分かるものが圧倒的です。
ただ、時々、本物っぽいメールも届きます。

一瞬だけ、本当にAmazonからのメールかな? と思ったスパムメール

久しぶりに、一瞬だけ本物かなと思ってしまったスパムメールが届きました。
Amazon Primeの決済失敗を騙るスパムメールです。

一瞬本物かと思ったといっても、「見た目が本物そっくりだから」というような理由ではありません。
いや、それも理由の1つではあるのですが。
見た目を本物そっくりにするには、本物をコピーして作れば良いのでとても簡単ですから(そんなとても簡単なことすらしていないスパムメールが世の中に多いだけで)、見た目だけでは判断できません。

私が一瞬本物かなと思ったのは、たまたま実際に利用しているサービスに関する内容で、たまたま期限日も本当に近かった点が主な要因です。
届いたメールは下図の通りです。(使っているメーラはThunderbird)

一瞬だけ、本当にAmazonからのメールかな? と思ったスパムメール
(矢印部分は主におかしいと感じる要因)

たぶん、本物の決済失敗案内メールをコピーして作られたのでしょう。(本物の決済失敗メールを受け取ったことがないので比較はできませんが。)

メール左上に「読み込まれていない画像」が見えますが、これはThunderbird(メーラ)が埋め込み画像の表示を拒否する設定になっているためです。(その都度許可すれば表示できます。)
また、右上あたりにあるメニューリンク群には「?」で文字化けしている箇所が2つありますが、この程度の文字化けは(特に海外企業から送られている場合には)公式メールでもありがちなので、これだけでおかしいとは判断しにくいです。

▼本物かなと思った要因は

一瞬本物かなと思ったのは、主に以下の点からです。

  • 私が実際に契約しているAmazon Primeについての内容。
  • 私の実際の更新日が、たしかに近い。(ただし本文に書かれている「7月10日」ではないのですが。)
  • スパムメールによくある怪しい日本語ではない。
  • 差出人がスパムメールにありがちなランダムなメールアドレスなどではない(実在するアカウントかどうかはともかく、amazon.co.jpドメインが表示されている)。(※)

※このブログ記事を書いている最中に同じメールがもう1通届いたんですが、差出人アドレスは(@記号より右側は同じamazon.co.jpドメインでしたが)別のアカウントになっていました。ブラックリスト入りされないようにランダムに変えているのでしょうかね。

▼偽物だなと判断した要因は

これは偽物だなと気付いたのは、主に以下の点からです。

  1. 本文中のリンク先が http://127.0.0.1/~ になっている。
  2. 本文末尾にあるボタン『支払方法の情報を確認する』のリンク先が、 http://000.000.000.000/ap/signin?openid~ のようなIPアドレスベースのURLになっている。(※)
  3. 送信に使われたメーラが「Microsoft Outlook 16.0」になっている。
  4. Thunderbirdが詐欺メールの可能性を指摘している。

※このブログ記事を書いている最中に同じメールがもう1通届いたんですが、IPアドレスは別のアドレスになっていました。

1~2. リンク先

今回の場合は、これだけで決定的ではあるのですが。本文中でリンクになっている文字列のリンク先が、ループバックアドレス(自分自身を示すlocalhostのIPアドレス)になっていました。なので、クリックしてもそもそも何も表示されないハズです。これは本来はスパムサイトへ誘導するハズだったのが、送信者が設定を誤ったかして、localhostになったのでしょう。

メール末尾にある橙色の『支払方法の情報を確認する』ボタンのリンク先は、ネット上に実在するIPアドレスが指定されていました。
クリックはしていないのでどこに繋がるのかは確認していませんけども。軽くググったところ、少なくともAmazonサイトで使われているIPアドレスではないようでした。

何にしても、リンク先が http://000.000.000.000/ のようにIPアドレスで指定されている場合には、このIPアドレスの示す先が何なのか事前に知っている場合を除いて、アクセスはしない方が良いでしょう。

3. 送信メーラ

私が使っているメーラ「Thunderbird」には、送信に使われたメーラのアイコンを表示するアドオン(Display Mail User Agent)を追加してあります。メールのソースを確認するまでもなく送信メーラが分かるので便利です。
それによると「Microsoft Outlook 16.0」を使って送信されていました。

AmazonのようなECサイトが自動で送ってくるメールの送信に、まさかOutlookは使われないでしょう。中の人が人力で送ってくるメールだったらその可能性もなくはありませんが(しかしAmazonの場合だと、中の人が手動で送信する場合でもWeb上の専用送信システムから送ってくる気がします。Vendor Centralとかはそうです)。過去のメールを見ると、Amazonからの自動メールのヘッダにはメーラの情報は含まれていませんでした。

4. メーラの警告

Thunderbirdは、詐欺メールだと判断した場合には赤色の帯で警告を表示してくれます。
詐欺メールではない場合でもThunderbirdが詐欺の可能性を指摘することは結構ありますからそのまま鵜呑みにはできないのですが、過去の経験から、AmazonからのメールをThunderbirdが詐欺メールだと判定してしまう頻度は特に高くないように記憶していました。
いずれにしても、これだけで詐欺メールだと断定することはできませんが、(他の要素を調べてみようと思う動機にするための)参考にはなります。

スパム対策の鉄則は、メール本文のリンクをクリックしないこと

スパムメール(詐欺メール)で被害に遭わないための鉄則は、とにかくどんなメールでも本文に書かれたリンクをクリックしないことです。

アクティベーション(個人認証)などの目的で、「Web上で自分が起こしたアクション」の直後に送られてくるようなメールは例外ですが。そうではなく、自分の直前の行動がトリガーになっていないメールについては、本文のリンクをクリックしないことです。

たとえ本物サイトから届いたメールのように思えたとしても、メール内のリンクはクリックしません。
日常的に、自分が利用しているプロバイダやカード会社から請求案内などが届くでしょうけども、その場合でもメール本文のリンクはクリックせずに、面倒でも自分のブックマークからそのサイトにアクセスして、メニューを経て目的の情報にアクセスします。
このようにすれば安全です。

認証目的のメールなどで、メール内に書かれたリンクをクリックせざるを得ない場合には、

  • 自分がWeb上で何らかのアクションを起こした直後に届いたメールであることを確認した上で、
  • ブラウザでページを表示した後に、アクセス先のドメイン名がそのサービスのものか確認する(ブラウザに「そのドメインに過去何回アクセスしたか」を表示する機能があればそれで確認する)
    プライバシーと履歴:昨日までにこのサイトを表示したことがあるか
    Firefoxだと、[Ctrl]+[i]→「セキュリティ」タブで出せます。

……というような確認をしておけば、まあ概ね安全でしょう。

時々、認証URLには認証専用のサブドメインが使われていて「そのドメインに過去何回アクセスしたか」項目では「0回」と報告されてしまうサービスもあってちょっと困るのですが。そのときにはもう、念入りにドメイン名部分を見て判断するしかないでしょうかね。
まあ、「自分がWeb上でアクションを起こした直後に送られてきた」のなら大丈夫だとは思いますけども。ちょうどタイミング良くスパムが届くという可能性もないとは言い切れませんし。(^_^;;;
大丈夫だと思えるような普段から念入りにチェックしておく習慣を付けておけば、より安全なネットライフを送れるでしょう。きっと。

▼補足:今回の場合は

今回の場合はメール本文を読んだ時点で偽物だと分かっていたわけですから当たり前ですけども、
メール内のリンクはクリックせずに、とりあえず自力でブックマークからAmazonサイトへ移動して、会員登録情報を調べてみました。
その結果、既にPrimeの契約は更新済みでしたし、更新された分の領収書も発行可能状態になっていたことを確認しました。(ただ、Primeの会員登録を更新しましたよ的なお知らせメールは特にAmazonから届いていなかったのですが。お知らせなしで更新される仕組みなんですね……。)

何にせよ、送られてきたのは明確なスパムメールでした。

公開している連絡用メールアドレスをECサイトでは使わないのも手

Webサイトを持っているなら、連絡用メールアドレスを公開していることもよくあります。
その「公開しているメールアドレス」は、ECサイトなり各種サービスなりでは使わないでおくのも1つの手でしょう。

実は私もそのようにしていまして、よくよく考えたら、今回のスパムメールが届いたメールアドレスは、私がAmazon Primeに登録しているメールアドレスではなかったので、中身を読むまでもなくスパムだと断定できる要因だったのでした。(^_^;;;
ついうっかりしていて、最初はその点に気付かなかったのですが。^^;

というわけで、スパムメールの話でした。

コメント

コメント数: 0件

コメント投稿欄 この日記に対するコメント投稿を歓迎します。



※本文中にURLは書けません。(書くと投稿が拒否されますのでご注意下さい。)

※ご投稿頂いた内容は、掲載前に管理者が確認する設定にしている場合があります。たいていは数日以内には表示されるはずですので、気長にお待ち願います。m(_ _)m

著者紹介


にしし(西村文宏)

にししでございます。本書いたり記事書いたりしてます。あと萌えたり。著書5冊発売中です(Web製作系4冊+小説1冊)。著書や記事は「西村文宏」名義。記事は主にAll Aboutで連載。本の最新刊は2011年3月に発売されたライトノベルでございますよ。

Twitter:にしし/西村文宏
にしし/西村文宏 on facebook にしし/西村文宏 on mixi フォローはお気軽に!

にしし(西村文宏)連絡先
☕ コーヒーをおごる

著書一覧と詳細

関連する記事など

※下記には、本サイト内外の関連記事などが8本くらい自動で表示されています。

にししふぁくとりー Sakura scope内限定での主要なカテゴリ

--- 当サイト内を検索 ---