スモールビジネスのIT日誌

• (2023-05-29 14:16:02)

「誰かがあなたのAmazonアカウントで購入しようとしている」詐欺メールが来た。

一瞬判断が揺らいだので記録。

第三者の氏名・住所が具体的である点がミソ

「横浜市○○」という実存の住所の人が実存人物かもしれない氏名で「37,000円」で何かを購入したというもの。

このメールのミソは人名と住所が完全に具体的であること。

Google Mapで検索するとこの住所にはある施設の建物があった。

この氏名や住所の方には迷惑な話である。

この知らない人が私のアカウントで37,000円の買い物をしたという内容。

一瞬「何の話だ？」と戸惑った。

第三者の人名と住所が使われる詐欺メールははじめてのパターンだった。

メールのhtmlソース

htmlのソースを見るとこんな感じ：

＜!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"＞
＜HTML＞＜HEAD＞
＜meta http-equiv="Content-Type" content="text/html; charset=utf-8"＞
＜BODY＞
＜H3 style="COLOR: black"＞
誰かがあなたのAmazonアカウントを使用して別のモバイルデバイスからこの注文を購入しようとしました。

Amazonのアカウントセキュリティポリシーに従い、Amazonアカウントを凍結しました。

＜FONT style="BACKGROUND-COLOR: white" color=red＞
◆アカウントが盗まれる危険性があります。
この注文を一度も購入したことがない場合は24時間以内に以下のリンクをクリックして、
この注文をキャンセルし、Amazonアカウントを復元してください。
＜A href="https://audsefwm1.cyou/partb1.php"＞この注文をキャンセルする＜/A＞

この「audsefwm1.cyou/partb1.php」プログラムをクリックさせることが詐欺メールの目標。

これをクリックするとAmazonとはまったく無関係なサイトに連れ去られる。

後日来た似た詐欺メールの詐欺URLはこのほか下記などもあった：

rtrerna9.cyou/fredi9.php
audsascmw1.cyou/partr1.php
kennyeaa12.cyou/aera12.php
madgewqa13.cyou/goss13.php

おそらく半日程度で "詐欺サイト認定" を受けブラウザがブロックするようになるだろうから、毎日新しいドメインを取得しては廃棄しているのではないか。

詐欺先のドメイン audsefwm1.cyouの調査

ドメイン「audsefwm1.cyou」に置かれているプログラム(partb1.php)を起動するようになっている。

ところで、gTLDの「.cyou」ってなんだ？ふつう「.com」「.net」などは一般的だが、見たことがないと思った。

検索すると「.cyouは2020年に誕生した『See You』を表すgTLD」。

( なんてどうでもいいgTLD、くだらんgTLDを量産している近年のICANNは迷走気味に見えてしまう。しかも「See You」を「cyou」と表記するとは若者コトバに迎合しすぎでは？ )

「audsefwm1.cyou」を検索すると、本日取得されたドメイン名だとわかる。

詐欺のためだけに取得して数日利用して破棄するタイプのドメインか？

シンガポール(？)のGname.com Pte. Ltd.社で取得されているが、この詐欺サーバの所在地自体は不明。

取得者はニューヨークの企業とあるが不明。

audsefwm1.cyou
Create: 2023-05-22
Expiry: 2024-05-22
Update: 2023-05-22
Age: 0Year0Month
AgeDay: 0Day

Registry Domain ID: D369379338-CNIC
Registrar WHOIS Server: whois.gname.com
Registrar URL: https://www.gname.com/
Registrar:
Registrar IANA ID: 1923
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: addPeriod https://icann.org/epp#addPeriod
Registrant Organization:
Registrant State/Province: New York
Registrant Country: US

メールヘッダー

メールがどこから送信されたかヘッダーを見ると、

(1) 「from fqpla (unknown [112.51.62.131])」から送信され、
(2) 「from amazon.co.jp (unknown [91.149.240.151]」を経由して
(3) (ここには書いていないが)日本国内のSMTPサーバに入ってきている

Received: from amazon.co.jp (unknown [91.149.240.151])
by ... (Postfix)
with ESMTP for ...;
Received: from fqpla (unknown [112.51.62.131])
by amazon.co.jp (Postfix)
with ESMTPA id 86303xxxxx for ...;
Message-ID: <...>

(1)～(2) のIPアドレスを調べると下記の情報がでてきた。

「from fqpla (unknown [112.51.62.131])」を調べると・・

netnum: 112.0.0.0 - 112.63.255.255
netname: CMNET
descr: China Mobile Communications Corporation
descr: Mobile Communications Network Operator in China
descr: Internet Service Provider in China
country: CN　　　→　（中国）
org: ORG-CMCC1-AP
admin-c: ct74-AP
tech-c: HL1318-AP
abuse-c: AC1895-AP
status: ALLOCATED PORTABLE
remarks: service provider

このメールの送信元は中国のチャイナモバイルの中のサーバ。
チャイナモバイルのレンタルサーバではないだろうか？

「amazon.co.jp (unknown [91.149.240.151])」を調べると・・

inetnum: 91.149.240.0 - 91.149.240.255
org: ORG-BGI3-RIPE
netname: BG-NETWORK
descr: BG-NETWORK
country: NL　　　→　（オランダ）

organisation: ORG-BGI3-RIPE
org-name: Baxet Group Inc.
country: US　　　→　（アメリカ合衆国）
org-type: OTHER
geoloc: 39.7456 75.5482
language: EN
address: 2093 PHILADELPHIA PIKE, 6009
address: Claymont, DE 19703-2424
address: US
phone: +1 (917) 938-7088
abuse-c: BGI13-RIPE
mnt-ref: MARTON-MNT
mnt-ref: voldeta-mnt

経由地はオランダのどこかのサーバー。「amazon」と書かれているが偽装だろう。

結論

このメールは中国から送信され、米国「Baxet Group Inc.」社からオランダ経由で地球一周して日本に来たようだ。

Baxet Group Inc.を検索するとScamalytics社のコメントが上位に表示され、その内容はBaxet Group Inc.社は高い確率で詐欺ISPというもの。

Scamalytics社がどんな企業か聞いたことがなく信じてよいか不明だが。WIREDなどにも取り上げられていると自社アナウンスしているので本当ならある程度信じてもよいかも。


チャイナモバイルからオランダ間はVPNの可能性がある。

中国からVPNでオランダ経由で日本へと送信されてきたようだ。

VPNを利用する意味は不明だが、空想するなら中国当局は人民のメール内容をチェックしていると思われるので、中国国内での詐欺行為発覚を逃れるためではなかろうか？

中国発信の詐欺メールは今まで中国本土から直接送られてきていたが、今後はVPN経由も多くなる予感。

日本のみなさま、ダマされてクレジットカード番号などを詐欺URLなどに打ち込まないよう、くれぐれもご注意。

またAmazonさま、あなたの名前で全世界に詐欺メールがあふれています。

犯罪者が勝手にAmazonの名称を利用していることは理解しますが、あなたは世界最大最強のIT先進企業なんだから、なんとか対策してくれないんでしょうかね・・・