[重要]Amazonサインインが検出されました！メールは偽物!?

こんにちは、ブログ担当の内海です。

先日当社のパソコンでメールチェックをしていたところ、気になる文言の件名に目が留まりました。

[重要]Amazonサインインが検出されました！番号：640806352601

このメールを受信した日付は2020年6月21日(日)でした。

内容を確認してみると、新しいデバイスからAmazonにサインインがあったので、これはお客様によるものですか？というようなよくあるサインインの確認メールのようでした。

私も初めは本物だと思い、記載された時間帯にサインインしたかなと考え込んだりもしました。

しかし、詳しく調べてみるとどうもこれは巧妙に作られたフィッシング詐欺であることが分かりました。

今年の5月頃にこのようなメールが届いたというブログをいくつか拝見しましたが、当社に届いたものは更に巧妙化されているようでしたのでその詳細についてこの記事に詳しく書き記していきたいと思います。

目次

1. いかにも本物っぽいが少し違和感がある

送られてきたメールはこのような見た目でした。

このような不安を煽って偽のURLに誘導するスパムメールはamazonに限らずよくありますが、このような場合大抵、差出人名はAmazonと書いてあってもメールアドレスはamazonとは関係のない文字列だったりすることがあります。

ところがこのメールでは、差出人名は「Amazon.co.jp」でアドレスも「Amazon@amazon.co.jp」と書いてありいかにも本物っぽさを感じます。

ですが、メール文中に「(email变量)」(？)という中文ぽい謎の文字が含まれていたり、下の「アカウント管理」のボタンのリンク先はAmazonとは関係のないサイトへ誘導しようとしていることから、このメールが偽物であることが分かります。

「变量」とは日本語で「変数」のことみたいなので、もしかしたら「○○様」という風に相手のアカウント名を表示させようとしていたのかもしれませんね。

2. メールが本物かどうかを確実に判断する方法

このようなメールがAmazonから送られてきた場合に、本物かどうか簡単に見破る事ができます。

それは、Amazonのアカウントサービスからメールを確認する方法です。

実はAmazonから送られてきたメールはすべてメッセージセンターというところに集約されて閲覧することが出来るのです。

場所は以下のとおりです。

1. Amazonにアクセスしログイン
2. 上の検索欄の右にある「アカウント＆リスト」にマウスポインタを乗せる
3. 「アカウントサービス」をクリック
4. 「Eメールとメッセージ」枠内の「メッセージセンター」をクリック

でメールを閲覧できます。

↓

するとこのような画面になるので、この中に該当のメールが来ていれば本物、来ていなければ偽物であると言うことがハッキリするわけです。

私はこのメールが来たあと、念の為に二段階認証設定をやり直していた関係で「Amazon.co.jpのアカウントの修正」というメールが3件続いていますが、「サインインが検出された」という旨のメールはないので偽物であることが分かりました。

二段階認証設定はAmazonを利用する方は必ずやっておいたほうが良いです！
仮にログインIDとパスワードが盗まれたとしても不正ログインを防ぐことが出来ます。

Amazonの二段階認証設定のやり方についてはこちらの記事で詳しくまとめています。

3. どこから送られてきたのか解析してみる

普段迷惑メールが届いても解析まではしないのですが、被害に遭われれる方が出ないよう注意喚起の意味も込めて出来る範囲まで解析してみました。

メールがどのようにして送られてきたのか確認するにはメールヘッダというものを参照します。

Outlook2013の場合「ファイル」→「プロパティ」とクリックしていくと、「プロパティ」ウィンドウが開きます。
するとその中に「インターネットヘッダー」という項目があるので、そこからメールヘッダを確認できます。

メールヘッダには「Received:」と書かれた部分が何箇所かあります。
これは、メールが送信されてきた経路を表していて、その間に中継サーバーを介してくればその数だけ「Received:」の項目が増えていき、上に行くほど受信側、下に行くほど送信側に近くなります。

当社に送られてきたメールの場合、「Received:」の項目は全部で5項目あり、そのうち上から3つまでは「gmoserver.jp(＝当社が使用しているお名前ドットコムのサーバー)」やローカルホストが記録したものでした。

そこから下はこのような内容でした。

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sendgrid.net; 
	h=from:to:subject:mime-version:content-type; s=smtpapi; 
	bh=TCbkkrX06iQOQNShhOu+c7J4eSWepBFS7teQzrFNXEg=; b=kZkjS7zUINHAA
	PP4E0YDIMobiaGFWYq2ReeR0HKAVJkmTWPqpRptLgK4vjBbEXxPAyK7WWZNztkHU
	HYV+1BEjo/ZhLakM9Xgp5Y5jiWAi/mgSv9AmCeWonrwloHGyqtNmqJQ0xSXh6/wR
	iQOnbWeCSZIYm/rSV8MVAOZsnNNraE=
Received: by filter0164p1iad2.sendgrid.net with SMTP id filter0164p1iad2-31326-5EEF330C-A
        2020-06-21 10:14:37.127359797 +0000 UTC m=+318365.191834798
Received: from amazon.co.jp (unknown)
	by ismtpd0002p1hnd1.sendgrid.net (SG) with ESMTP id BbfNAvXCSGGfC-1i8aXnWw
	for <mail@auvix.tokyo>; Sun, 21 Jun 2020 10:14:36.544 +0000 (UTC)

「DKIM-Signature:」という項目が間に入っていて「Received:」が2つ(つまり送信した相手が一番最初に通過した経路とその次の経路)続いていました。

「DKIM-Signature:」というのはDKIM(DomainKeys Identified Mail)という送信者認証のための電子署名らしいです。

一見、電子署名までされていて信頼がありそうに見えますが、じっくり見てみると怪しい箇所が見えてきます。

まず1つ目は、一番下の「Received:」は「from amazon.co.jp」となっていますが(この部分は簡単に詐称できる部分なので信用性は低い)、その次の()内は送って来た相手のサーバー名やIPアドレスが入るはずが「unknown」となっている点。

次にその上の「Received:」はいきなりbyから始まっている点。
本来は「Received: from～by～」という形式で記述されるルールがあるのですが、そうなっていないのはかなり不自然です。
もしかしたらこの辺りは足がつかないように細工されているのかもしれません。

次に、この3つの項目にはところどころに「sendgrid.net」という文字列が散りばめられている点。

SendGridについて調べてみると、どうやらアメリカを本拠地とするメールサービスだということが分かりました。

さらに下の方を見ていくと

X-mailer: Foxmail 6, 13, 102, 15 [cn]

という記述がありました。

「X-mailer:」という項目は送信者が使用したメールソフトの種類を表しています。
その次に続く「Foxmail」とは、中国のテンセントという企業が開発したフリーウェアのメールクライアントであることが分かりました。

Amazonのような超巨大企業がわざわざ中国のフリーメールを使用して、なおかつSendGridまでも介して来るのはかなりおかしな話です。

事実、本物のAmazonから送られてきたメールのヘッダ内容はこの様になっていました。

Received: from a25-19.smtp-out.us-west-2.amazonses.com (a25-19.smtp-out.us-west-2.amazonses.com [54.240.25.19])
	by mx9.gmoserver.jp (Postfix) with ESMTP id DD3F1994ED
	for <mail@auvix.tokyo>; Mon, 22 Jun 2020 10:04:03 +0900 (JST)
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple;
	s=m3gdxb6svtrnoycoj5w5ubs33go3ivmr; d=amazon.co.jp; t=1592787841;
	h=From:To:Message-ID:Subject:MIME-Version:Content-Type:Date;
	bh=GOk8EpkVaKG2l86PWyuY7qEOggJHJqjO0ymYEoxSjiA=;
	b=ODcIYhS3le/NbXvX9c3/zw9TowfCKlU42LzpxLBcNsPy/ZiRCjR9DqJZRY8Ou/Oj
	r76XyS1/cT4O09NjhdJWf2M8hOD4HUKOB2A79trU/YqXYUwt2NDREksgXjlbvgzs+i6
	XSMbdB9fr9sgNLEb8+psfFK48uUCJlcSIYGxG49o=
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple;
	s=hsbnp7p3ensaochzwyq5wwmceodymuwv; d=amazonses.com; t=1592787841;
	h=From:To:Message-ID:Subject:MIME-Version:Content-Type:Date:Feedback-ID;
	bh=GOk8EpkVaKG2l86PWyuY7qEOggJHJqjO0ymYEoxSjiA=;
	b=GqU2ts1Cu9pvfvH4pjwRW+L70dBKjilbXwPxBmG2J5JGIp3Cw5O7dZMTe1L25KZ6
	dQZp1Q9dE/bIjm0zSkE5V58DgUcEaapDzF1RFtxnx3K52N3DRdEcx0YxRB5MnX5U1Ps
	lHF+XTFe5+os4Nqh6QunBgxmCGiIQlhX87da7tJc=

こちらは二段階認証を再設定した直後に送られてきたメールヘッダの一番下に記載された「Received:」と「DKIM-Signature:」の部分を抜き出したものです。

他のAmazonから送られてきたメールも何通か確認しましたが、「Received:」のfromフィールド内は必ず「～.amazonses.com」となっており、「DKIM-Signature:」内も「d=amazon.co.jp;」や「d=amazonses.com;」という文字列になっていることが分かりますね。

以上のことから、今回送られてきたメールはAmazonを装った悪質な迷惑メールであることが言えます。
特に悪質だと感じたのはメールヘッダが見られることを意識しているのか、直接Foxmailで送らずにSendGridを介して来ることで電子証明をつけたり、あたかもアメリカからの送信であるかのように見せかけているような点です。

また、少しゾッとしてしまったのですが、メールヘッダにはメールが相手に届かずエラーになった場合に返すための送信先を表す「Return-Path:」という箇所があります。

本物のAmazonからきたときにはこのようになっていました。

Return-Path: <20200622010058efc74268ab6046189447cdb774b0p0fe@bounces.amazon.co.jp>

当然、Amazonのドメインに届くように設定されています。

ところが、今回の迷惑メールではこのようになっていました。

Return-Path: <bounces+17086826-cab4-mail=auvix.tokyo@sendgrid.net>

なんと、当社のドメイン名(auvix.tokyo)がユーザーネームになっているSendGridのメールアドレスが設定されているではないですか。

当社はSendGridを全く利用したことがないので、勝手にメールアドレスが作成されてしまっているということなのでしょうか。。。

知らないところで自分の名前のメールアドレスが作られているなんて恐ろしいですね。

3.1 誘導されたURLの先

メールに記載されていた「アカウント管理」というボタンですが、実は一度間違って押してしまいページを開いてしまいました。

するとこのようなページが表示されました。

一見しただけでは分からないほど正確に作られたAmazonのログインページです。

ですが、URLをよく見るとSSLで保護されていない「http」ページなのでブラウザによって保護されていない通信と表示され、「amazonjp.lile」という風に本物の「amazon.co.jp」に似せた名前になっています。

もちろんこのページを表示してしまっただけですぐに閉じましたが、この後ログインしてしまうと恐らくログインIDとパスワードやクレカ情報などが盗まれたりするものと思われます。

本物のAmazonのログインページと比べてみました。

こうして見るとかなりそっくりですね。

よく見るとページタイトルが本物は「Amazonログイン」であるのに対し、偽物は「Amazonサインイン」となっていたり、ファビコン(サイトのアイコン)のデザインが少し違っていたりと詰めが甘い部分もありますが、見比べないと気づかないレベルです。

4. 当記事執筆中にまた偽Amazonからメールが……

この記事を書いている最中にまたAmazonを語るところからメールが来てしまいました。

もしかしたらメールが有効だと思われしまったのかもしれません。

念の為画像はダウンロードしていませんが内容はほぼ一緒です。

ただし件名が変わっていて、今度は

[重要]アカウント詐欺事件のお知らせ

となっていました。

さらに、文中の初めに何故か「～@qq.com」というメールアドレスが。

私自身このドメインはすごく見覚えがありまして、今から4年前の2016年に中国の展示会に当社オリジナルブランドの電動歯ブラシ ブライトメイクを出品した時のことです。

展示会自体は無事閉幕を迎えたのですが、日本に帰国してからというもの中国語の迷惑メールが大量に届くようになってしまったのです。
(内容は詐欺的なものではなく中国国内で行われる展示会の案内がほとんど)

当時は展示スペースの受付台に名刺を置いていたため、どうやらそこからメールアドレスが広まってしまったようです。

まるで盗むように名刺だけ取って行ってさっさと居なくなる人がやけにいることはわかっていたのですが、こういうことだったのかと後になって痛感しました。

その後、恐らく向こうのメールリストか何かに載せられて回されているらしく、4年たった現在でも未だに新規で中国語の迷惑メールが送られ続けて来ている状態です。

その中でも「@qq.com」というドメインからのメールは特に多いのです。

それもそのはずで、実は「@qq.com」というのは中国国内ではかなり有名な「テンセントQQ」という、メッセンジャーアプリのアカウントを持っていれば取得できるフリーメールアドレスであることが分かりました。

日本でいうLINEのような存在らしく、中国人の利用者数も非常に多いということなので、恐らく同じ「＠qq.com」のアカウントでも複数の人物から送られ続けてきているということなのでしょう。

先ほどの「foxmail」も同じテンセント製でしたし、Amazonを装ったこれらの迷惑メールは、やはり中国からのものと見てほぼ間違いなさそうですね。

4.1 【2020年7月1日追記】またまた送られてくる

またAmazonの名前で似たようなメールが二通続けて送られてきました。

二通とも「account@Amazon.co.jp」という名前になっており、何故か「@mx9.gmoserver.jp」の代理で送信されています。

また「(email变量)」という文字がなくなっていますが、書体が「SimSun」になっていました。

「SimSun」とは、中国語（簡体）でよく使われるフォントです。

メールヘッダを確認すると相変わらずSendGridを介して送っているようですが、「X-mailer:」は「Zorlrut 1」に変わっていました。

「Zorlrut」について調べましたが、それらしいのはヒットしませんでした。

今後も何か進展がありましたら更新していきたいと思います

4.2 【2020年7月13日更新】今度は楽天の宛名

今回の件と同一グループによるものか不明ですが、今度は楽天カード株式会社を名乗り、「アカウントを更新してください」という件名のメールが届きました。

当記事の趣旨と少しズレてしまうので、この件は別記事にてまとめました。

4.3 【2020年7月27日更新】今度はAmazonプライムの名前でも

今度はAmazonプライムを名乗ったメールが同じ内容で二通続けて送られてきました。

件名は

Amazon Prime:お支払い方法を更新してください知らせ

でした。

件名はちょっと変ですが、メール内容の日本語はほぼ違和感なく読むことができ、かなり本物っぽいですが当社はそもそもAmazonプライムの会員ではありません。

念の為メールセンターで確認もしましたが、やはりこの内容のメールはありませんでしたので偽物ということになります。

Amazonも楽天も様々なサービスがあるので、色々な名前を使って来ているんですね。

4.4 【2020年7月30日更新】偽注文確認メールが届く

騙す方も色々考えるものですね。

今度は偽の注文確認メールが届きました。

(下の画像をクリックしてポップアップさせた後、右クリックメニューから「新しいタブで画像を開く」などをクリックすると拡大表示できます。)

もしかしたらこの一連の迷惑メールはサインインが検出された後に何者かに注文されたと見せかけたいのかもしれません。

パソコンに詳しくない人が見たら、いきなり17万もの大金を誰かに使われたとなると、かなり動揺してしまいますね。

ですが冷静によく考えてみると、前回送られてきたメールでは「アマゾンプライムの年会費を支払いできるクレジットカードが見つからない」と言われていたので、17万のMacBookも支払い出来ないハズなんですけどねｗ

ちなみにこちらは去年私の個人アカウントで注文した時の本物の注文確認メールです。

なお、本物の方のアドレスは「auto-confirm@amazon.co.jp」となっていました。

こうしてみると文面はほぼ一緒ですが、偽物との違いはやはりこちらのユーザー名を記載していない点や、メールアドレスがおかしいという点などが挙げられますね。

また、偽物の方ではリンク先がほぼ全て同じアドレスで、Amazonとは関係の無いURLとなっていました。

偽物の注文確認メールに記載されていた住所と建物名は、調べてみると実在する個人宅でした。
勝手に他人の住所を詐欺に利用するとは迷惑極まりないですね。

4.5 【2020年8月17日更新】再びの注文確認メールとキャンセルメール

再び偽注文確認メールが届きました。

購入されたという品物は、先日の偽注文確認メールに記載されていたものと同じ機種のもので、当社のお盆休み期間中に二通も来ていました。

更に続けて「あなたのアカウントに異常な活動が検出されたので注文をキャンセルした」というメールが来ていました。

件名は「注文番号『951-182213-30977170』はキャンセルされました。登録して確認してください。」と書かれていました。

しかし、これもまたおかしな点が数カ所あります。

件名に記載されている「951-182213-30977170」という注文番号はこれまで来たメールのものとは一致しないことや、キャンセルされた品物はよく見ると同じMacBookでも機種が異なることが挙げられます。

また、使われているフォントも違和感を感じます。

「更新」の「新」の漢字の左下が「木」ではなく「ホ」のようになっていたり、「確認」の「認」の漢字の右上が「刃」ではなく「刀」に点を加えたような文字になっていたりと日本では使われない漢字が所々に見られます。

気になったのでフォントを調べてみたところ「Microsoft YaHei(マイクロソフト ヤーヘイ)」というものが使われているようです。

ヤーヘイなんてフォント初めてみた…。
どういうフォントなんだろう？

WikiペディアによるとヤーヘイというフォントはWindows Vista以降から標準搭載されている中国語のフォントであることが分かりました。

これでもう偽物であると断定できますね。
（念の為Amazonにログインしメールセンターで確認もしましたが、該当のメールは届いていませんでした。）

動揺していると見逃してしまいそうな不審点ばかりですが、冷静になってみれば色々なところがおかしいと気づくことが出来るはずです。
くれぐれも冷静に対処していきましょう。

5. まとめ

• 「[重要]Amazonサインインが検出されました！」や「[重要]アカウント詐欺事件のお知らせ」といった件名のメールはAmazonを装った偽物である可能性あり
• 怪しいと思ったらむやみに画像やURLは開かずに、まずはAmazonにログインしてメッセージセンターに該当のメールが届いているか確認
• 届いていなければ偽物なので、メールは速やかに削除する

6. 最後に

Amazonは利用者数が多い事もあるせいか、度々犯罪者たちに狙われているような気がします。

過去には出品者のアカウントが乗っ取られ当社のブライトメイクが異常な低価格で商品が出品されるなどされていた時期もありました。(下記参照)

繰り返しになりますが、Amazonを利用している方は必ず二段階認証の設定をしましょう。
そうすることで仮にログインIDとパスワードが盗まれたとしても、二段階認証を設定していれば不正にログインされることはありません。

今回の迷惑メールのような、相手を不安にさせて誘導する手段は詐欺集団の常套手段です。

日々進化を遂げていて、やり方もかなり巧妙になってきていますが、まずは落ち着いて本物かどうか見極めていきましょう。

私達が被害に遭わないためには、何かあっても常に疑いの目を持ち続けることが大事なのかもしれませんね。

Follow me!

@auvix_official