こんにちは、自称セキュリティ向上委員のしゃおです。
今年もやってきました!
Amazonを騙るフィッシングメール!
引っかかって
- クリックしてしまった
- 住所や名前・クレジットカード情報など、個人情報を入力してしまった
となってしまった場合の「対処方法」と、ならないための「見分け方&対策」について、まとめてみました。
- Amazonを騙るフィッシングメールについて知りたい
- フィッシングメールの見分け方について、簡単に理解したい
- フィッシングメールが着たら、どうすれば良いか
- 正規のメールか、フィッシングメールか、分からないときに即分かる方法を知りたい
- 引っかかってしまった場合の対処方法を知りたい
- フィッシングメールのヘッダー解析結果(セキュリティ)に興味がある
フィッシングメールの見分け方・見破り方6つ+α
以下6つがAmazonのフィッシングメールの見分け方&見破り方です。
+αは被害拡大防止のため
- 日本語がおかしい
- 「アカウントの停止」の場合 → ログインを試す
- メッセージセンターでメールを確認
- リンクアドレス(URL)の確認
- 送信元・返信先・リターンパスの確認
- ヘッダー解析
α.フィッシングメール・なりすましをAmazonへ報告
日本語がおかしい
フィッシングメールは、日本人ではない者が送っている場合が多いので、どこか日本語がおかしい(不自由な)ことが多いです。
フィッシングメールか怪しいときは、件名や本文の以下の点を意識して見て、判断しましょう。
- 1つの単語の中に、全角と半角が混ざっている
- 句読点の位置がおかしい
- 助詞(「を」「に」「が」「は」など)が不自然
「アカウントの停止」の場合、ログインを試す
アカウントが停止されていないのに、停止しているかもと、ユーザを不安にさせ、メール内のリンクをクリックさせようとするフィッシング行為です。
正規AmazonのURLからログインを試すと、アカウントが停止されているかどうか、即分かります!
正規AmazonのURLからログインを試す
- ログインできる → アカウントは停止されていない → フィッシングメール
- ログインできない → アカウントが停止されている → 正規メール
メッセージセンターでメールを確認
Amazonからのメールは、メッセージセンターである程度確認可能です。
アカウント&リストから
アカウントサービス
Eメールとメッセージ > メッセージセンター
メッセージセンターには、画像のようにAmazonからアカウントに送信されたメール一覧を確認することができます。
ただし、広告メールや一部通知メールについては確認できません。
気になるメールがあった場合は、カスタマーサービスへ問い合わせましょう。
リンクアドレス(URL)の確認
公式ページのURLとなっているか確認しましょう。
- URLの場合 → リンクのURLを見る
- ボタンの場合 → PCならボタンにカーソルを合わせてブラウザの左下に表示されたURL、スマホならボタン長押しでリンクのURLをコピー後、メモアプリなどに貼り付けて確認可能
- https://××.amazon.co.jp/
- amazon.co.jp/
上記どちらかで始まれば、正規URLです。
引用:フィッシングまたはなりすましメールの種類 – Amazon
送信元・返信先・リターンパスの確認
- amazon.co.jp
- amazon.jp
- amazon.com
- amazonbusiness.jp
- email.amazon.com
- marketplace.amazon.co.jp
- m.marketplace.amazon.co.jp
- gc.email.amazon.co.jp
- gc.amazon.co.jp
- payments.amazon.co.jp
Amazonいわく
上記10ドメイン以外の場合は、フィッシングやなりすましの可能性があります。
上記ドメイン以外を使用する場合もあります。Amazon.co.jpが送信したEメールは、メッセージセンターでご確認いただけます。
ということでした。
引用:Amazon.co.jpが使用する差出人Eメールアドレス – Amazon
- amazon-security@hotmail.co.jp
- amazon-payments@gmail.com
- seller-performance@payments–amazon.co.jp
1,2は、@より前のユーザ名は一見Amazonのようですが、ドメインが完全に異なります。
3は、パッと見では正規ドメインに似ていますが、「.(ドット)」が「-(ハイフン)」になっています。
すぐに確認したい方は、「Amazon.co.jpが使用する差出人Eメールアドレス – Amazon」をブックマークしておくのがオススメ!
ヘッダー解析(3つの認証について)
セキュリティに興味がある方は、ヘッダー解析がおすすめです。
電子メールは、以下2つで構成されていると理解しよう!
- 送信者や宛先、日時や件名など → ヘッダー
- メッセージ本文 → ボディ
ヘッダー解析とは、上記ヘッダーの認証部分3ヵ所を見るだけで、99.9%(ほぼ確実に)フィッシングメールか判断できる方法です。
ヘッダーを見ると、認証部分3ヵ所でそれぞれ、「スコア(値)」を確認することができます。
※実際の解析のやり方については、3ヵ所の説明のあと
3ヵ所とスコアについて、簡単に説明していくよ。
SPF(Sender Policy Framework)
送信元メールサーバのIPアドレス認証 = 正しい送信元かどうか
- 読みは、そのままエスピーエフ
- ヘッダー内から「spf」や「spf=」で検索すると、すぐに見つけることができる
郵便でいうと、どこの郵便局から送ったか
認証結果
| スコア | スコアの意味 |
| pass | 認証成功 |
| hardfail | 認証失敗・送信元メールアドレスは詐称されている |
| softfail | 認証失敗・送信元メールアドレスは詐称されている可能性がある |
| neutral | 認証失敗・送信元メールアドレスの正当性を判断できない |
| temperror | 認証不可能・認証処理に障害が発生 |
| permerror | 認証不可能・認証情報の記述に誤りがある |
| none | 認証情報が存在しない |
DKIM(DomainKeys Identified Mail)
送信メールの電子(デジタル)署名認証 = 電子メールが改ざんされていないか
- 読みは、ディーキム
- ヘッダー内から「dkim」や「dkim=」で検索すると、すぐに見つけることができる
送信者から宛先に届くまでに、内容の変更がされていないか
認証結果
| スコア | スコアの意味 |
| pass | 認証成功 |
| fail | 認証失敗・メールが改ざんされている |
| neutral | 認証失敗・文法エラー、署名認証の処理過程でエラー、予期しないエラーが発生 |
| temperror | 認証不可能・認証処理に一時的な障害が発生 |
| permerror | 認証不可能・認証情報の記述に誤りがある |
| none | メッセージは署名されていない |
DMARC(Domain-based MessageAuthentication, Reporting, and Conformance)
SPFとDKIMを利用したドメイン認証補強技術 = 上記2つの認証失敗時の処理判断に使われる
- 読みは、ディーマーク
- ヘッダー内から「dmarc」や「dmarc=」で検索すると、すぐに見つけることができる
※DMARCは、なりすましメールやフィッシング対策のため、Google・Facebook・Microsoftが合同で立ち上げた「DMARC.org」が提唱しているセキュリティ技術です。
DMARCレコードがあり、ポリシーに適合するか
認証結果
| スコア | スコアの意味 |
| pass | DMARCレコードが見つかり、ポリシーに適合した |
| fail | DMARCレコードが見つかり、ポリシーに適合しなかった |
| none | DMARCレコードが見つからなかった |
| temperror | 一時的なエラー |
| permerror | 永続的なエラー |
詳しく知りたい方は「DMARCについて – Google」を参照
ヘッダー解析のやり方
ヘッダー詳細を開く
ヘッダー解析(上記3ヵ所を確認)するためには
- PCでメール開き
- スマホならば、PC版ビューワー(PC版サイトで開く)でメールを開き
ヘッダー詳細を見なければなりません。
PCの右クリックやスマホの長押しから「ヘッダー詳細」や「メールソース」を探してクリックするだけでOKです。
ヘッダー詳細の確認方法
例として、GmailとYAHOO!メールのヘッダー詳細の確認方法を載せておきます。
Gmail
Instagramから届いたメールのヘッダー詳細を見てみます。
メールを開き、右上の「︙(その他)」をクリック
「メッセージのソースを表示」をクリック
Gmailは、SPF・DKIM・DMARCを表示してくれるため、すぐに確認できます。
優しい。。。さすがGoogle様!
認証結果はすべて「PASS」となっているのを確認 → 正規メール
ちなみに、元のメールをダウンロードより下には、ヘッダー詳細(メッセージのソース)が続いています。
YAHOO!メール
Instagramから届いたメールのヘッダー詳細を見てみます。
メールを右クリック > 「詳細ヘッダー」をクリック
詳細ヘッダーのウィンドウが開いたら
- 「spf」「dkim」「dmarc」で検索
- 目Grep
で認証部分を見つけます。
※メールを開いたあとならば、件名の右端の「詳細を表示 > 詳細ヘッダー」をクリックでも詳細ヘッダーを見ることが可能
認証結果、SPFとDKIMは「pass」 → 正規メール
※今回のメールはInstagramからの古いメールのため、DMARC認証に対応していません。
- 「メールの送信元がDMARC認証に対応していない場合は、ヘッダー詳細に『DMARC』という文字は表示されない」と覚えておきましょう。
その他のWebメール・メールソフトでも、大体同じような操作でヘッダー詳細が確認できます。
フィッシングやなりすましと判定したら
Amazonへフィッシングまたはなりすましメールを報告
最終的に、Amazon(stop-spoofing@amazon.com)へ、フィッシングまたはなりすましメールを報告することで、被害拡大防止に努めましょう。
フィッシングまたはなりすましメールを報告する – Amazon
実際に届いたメールがフィッシングか判定してみる
頻度で言うと、年に3通ほど、Amazonを騙るフィッシングメールが私の元にも届くので、そのメールをフィッシングが判定してみます。
- 【重要】Аmazon. co. jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認
- 「重要」ログインのお知らせ – お客様のアカウントは強制停止されています
リアルなメールですので、個人情報に関する部分はモザイク済
【重要】Аmazon. co. jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認
の確認-640x480.png)
- 件名など、すべてのAmazonが「Amazon」 → Aだけ全角
- 本文の1行目が名前ではない → Amazonお客様
- 本文の日本語がおかしい(日本人ではない人が書いたような文がある)
- リンクのアドレスが怪しい
- ヘッダー解析をしてみた結果、明らかにフィッシングメール
①件名など、すべてのAmazonが「Amazon(Aだけ全角)」
件名含め、8ヵ所がAだけ全角のAmazon → 本来はすべて半角が正しい
②本文の1行目が名前ではなく、「Amazonお客様」
正規のAmazonならば、「Amazonお客様」などありえません!
登録してあるはずの氏名が分かっていない時点で、フィッシングメールの疑いが濃厚です。
- 正規Amazonからの注文や広告メール → 「氏名様」
- 正規Amazonの配送メール → 「氏様」(ヤマト運輸、日本郵便)
③本文の日本語がおかしい
期限切れになってるか・・・なぜ話し言葉?日本人ならば、「期限切れになっているか」でしょう。
他にも、おかしいところもあります。
※全部指摘すると、フィッシング詐欺業者が修正してくる可能性があるため、あえて記載しません。
④リンクのURL(アドレス)が怪しい
※アドレスはアクセスしないように、変更済み
※XXXX@XX.co.jpは私のメールアドレス
パッと見ただけでは騙されるかもしれません。
正規Amazonから着たメールと比較すると、おかしな点に気付きます。
10通確認したところ、すべて上記のようにjpのあとは、「/」となっていました。
jpのあとに「.」で続くのはフィッシングメールです。
⑤ヘッダー解析してみた結果(認証を確認する)
- Received-SPF: unknown → 送信ドメイン認証不可能(正当性を判断できない)
- dkim=neutral → メールの電子署名認証失敗(署名の文法誤りなど)
- dmarcなし
どうみても、なりすまし&フィッシングメールです。
- Received-SPF:pass もしくは spf=pass
- dkim=pass
- dmarc=pass
SPF(送信ドメイン認証)は多くの会社が採用していますが、dkim(メールの電子署名)とdmarc(SPF&dkim失敗時の動作)は採用していない会社もあります。現在は採用が進みつつあるといったところです。
Gmail・YAHOO!メールはdkim・dmarcともに確認できたので、GAFAなどの世界的企業は、基本的に採用していると思われます。
「重要」ログインのお知らせ – お客様のアカウントは強制停止されています
- 本文の1行目が名前ではない → Amazonお客様
- 件名など、すべてのAmazonが「Amazon」 → Aだけ全角
- リンクのアドレスが怪しい
- 実際にAmazonにログインできるか試して、異常がないことを確認
- ヘッダー解析をしてみた結果、明らかにフィッシングメール
こちらは、おかしな日本語はありませんでした。
日本語力が上がってきているのは、イヤですね。
※1~3は上記と変わらないため省略
④実際にAmazonにログインできるか試す
メールからではなく、正規のAmazonからログインを試したところ、普通にログインできる&アカウントが停止されていないことが確認できました。
メールのリンクから確認は、ダメゼッタイ!
⑤ヘッダー解析してみた結果(認証を確認する)
- Received-SPF: unknown → 送信ドメイン認証不可能(正当性を判断できない)
- dkim=neutral → メール電子署名認証失敗(署名の文法誤りなど)
- dmarc=permerror → 永続的なエラー
こちらも、なりすまし&フィッシングメールです。
ヘッダー解析でのフィッシングメール判断は余裕ですね!
もう一度、ヘッダー詳細の確認方法を知りたい方はこちら
既にクリックした場合の対処方法
メールのリンク(ボタンやURL)をクリックしただけなら、ほぼ問題ありません。
冷静にブラウザを閉じてください。
ただし、何か異変を感じた or 何か起きたときは対処した方が良いでしょう。
- リンククリック後にファイルがダウンロードされた
→ダウンロードされたファイル名をメモ
→ダウンロードされたファイルを削除
→メモしたファイルがダウンロードされたPCやスマホで、ファイル名を検索し、他の階層(フォルダ)にないか確認するなど
※ハッシュ(Hash)値という言葉が分かる方は、「ファイル名」を「ハッシュ値」に置き換えてください。
フィッシングメールのリンクからログインしてしまった
ログイン情報(メールアドレスとパスワード)が漏洩している可能性大です。
→早急にパスワードの変更を行い、正規URLからログインを試す
正常にログインできた場合、パスワードが簡単でない限りは被害は出ないでしょう。
一応、購入履歴などを確認しておくと良いです。
既にログインパスワードが変更されてしまい、ログインできない
完全にログイン情報が漏洩&フィッシング業者にログインパスワード+αが変更されています!
→自分では対処できないので、すぐにAmazonカスタマーサービスへ問い合わせを行い、現在までに確認できていることを伝えましょう!
クレジットカード情報を入力してしまった
Amazonのログイン情報&クレジットカード情報が漏洩している可能性大です。
→自分では対処できないので、すぐにAmazonカスタマーサービスへ問い合わせ+カード会社にも連絡を行いましょう!
Amazonに限らず、今すぐできるフィッシングメール対策
二段階認証・二要素認証を活用
Amazonでも二段階認証の利用が推奨されています。
ログイン情報が漏洩したときでも、安全を守れる1つの手段です。
面倒でも、利用すべきですね。
メール本文のリンクから設定変更をしない
ユーザ情報(個人情報)の設定変更などを行う場合は、ホームページや正規URLから行うのを癖付けると良いかもしれません。
ブックマークなどを利用すると楽できるよ
確実に正規メールと判断できているメールのリンクから(100%フィッシングメールではないと自信がおあり)であれば、良いかもしれませんが。
なんとなく怪しいと思ったら
ヘッダー解析を行いましょう!
慣れたらすぐにできるようになるよ。
ヘッダー詳細をパパっと見るだけで、なりすましやフィッシングメールと判断できると考えれば、今後の人生安泰ですね!
メールについては今のところ、そうかもしれませんが、人生は言い過ぎですw
フィッシングと判断・判明したメール一覧
こちらは、新たなパターンのフィッシングメールが届いたら、随時増やしていこうと思っています。
Amazonセキュリティ警告: サインインが検出されました
- 親愛なメールアドレス? → 正規Amazonなら名前か名字のはず
- リンクも当然、正規AmazonのURLではない
- 一応、ヘッダー詳細も見てみると
SPF:error、dkim=permerror、dmarc=permerror
はい、フィッシングメール。次!
Verify your identity!
2は、米国のAmazon(amazon.comから)
- 日本語に違和感はない
- リンクは、IPアドレス/web.php → 怪しい
- ヘッダー詳細は
SPF: softfail、dkim=neutral、dmarcなし
はい、フィッシングメール!
この措置を講じましたが、ご提供いただいた情報がカード発行会社のファイルの情報と一致していません。
このメール、タイミングが完璧で、本物かと思いました。
本当に、Amazonで買い物した直後
いつも通り、ポイントを見ていけば、余裕で判断できます。
- メッセージセンターにメールはない。
- 日本語に違和感あり! → Amazonのaがα、jpのpがρ
- リンクは、www.linked.com/から始まるアドレス → 正規Amazonではない
- ヘッダー詳細は
SPF: none、dkim=permerror、dmarc=permerror
はい、フィッシングメール!
Amazonプライム会費のお支払い方法に問題があります、個人情報を更新してください
このメールも見るべきポイントを知っていれば簡単に判断できます。
- 氏名ではなく、アマゾンお客様 → 本物であれば氏名でメールがきます
- 最後に使用した支払い方法を入力 → Amazon.co.jpでは、アカウントサービスで、パスワードやクレジットカード情報などの個人情報の開示を求めることはありません。
- 「このメールの認証情報」をクリックで、ヘッダー情報をすぐに確認できます。
※yahooメールも2021年10年振りに全面リニューアルが行われ、メールの認証情報を分かりやすく表示してくれるようになりました! ←New
SPF: PASS、dkim=エラー、dmarc=FAIL
わざわざ送信ドメイン認証を行っていますが、他がダメなので完全にフィッシングメール!
なりすまし能力が上がったように見えますが、ヘッダー詳細を見るとReturn-Pathは全くAmazonとは関係のないメールアドレスとなっています。
Amazonセキュリティ警告:提供された情報がカード発行者ファイルの情報と一致しません
このメールは「この措置を講じましたが、ご提供いただいた情報がカード発行会社のファイルの情報と一致していません。」とほとんど同じ内容です。
- メッセージセンターにメールはない。
- 日本語に違和感あり! → Amazonのaがα(フォントが異なる)、jpのpがρ
- リンクは、lnkd.in/から始まるアドレス → 正規Amazonではない
- ヘッダー詳細は
SPF: error、dkim=neutral、dmarc=temperror
はい、フィッシングメール!
Amαzonご提供いただいたお支払い情報がカード発行会社のファイルの情報と一致していません。
- 「Amazonお客様」以外特に違和感がない →残念ながらフィッシングメール送信者の日本語力が向上している
- お知らせまで付けて本物っぽく見せている
- 明らかに違和感があるのは件名はaがα
- ヘッダー詳細は
SPF: none、dkim=neutral、dmarc=none
はい、フィッシングメール!
ただ、このメール珍しいパターンだったので調査を続けてみます。
ヘッダ解析(ヘッダ情報を見てみた)結果、送信元がパッと見だとドコモのドメインかと思いきや、domodomo.co.jpでした。
aguseでHPを見ても特におかしなところはなかったので
念のためVMを起動し検索
HPは会社概要のみ
検索結果から森公美子のコンサート情報へアクセスしたところ、画像は残されておらず
トップへのリンクはありませんでした。
調査結果
- HP情報がほとんど残っていない
- 過去に使われていたドメインのようなページが多数存在
おそらくdomodomoという会社が過去に使用していたドメインを悪徳業者が取得して使用しているものと思われます。
まとめ
- 日本語がおかしい
- 「アカウントの停止」の場合 → ログインを試す
- メッセージセンターでメールを確認
- リンクアドレス(URL)の確認
- 送信元・返信先・リターンパスの確認
- ヘッダー解析
α.フィッシングメール・なりすましをAmazonへ報告
- Received-SPF:pass もしくは spf=pass
- dkim=pass
- dmarc=pass
- https://××.amazon.co.jp/
- amazon.co.jp/
上記どちらかで始まれば、正規URLです。
- amazon.co.jp
- amazon.jp
- amazon.com
- amazonbusiness.jp
- email.amazon.com
- marketplace.amazon.co.jp
- m.marketplace.amazon.co.jp
- gc.email.amazon.co.jp
- gc.amazon.co.jp
- payments.amazon.co.jp
フィシングメールは、決して他人事ではありません。
使用するサービスやアプリが増えるほど、フィッシング被害に遭う確率が上がると考えておいて損はないでしょう。
私は大丈夫と思わず、「フィッシングメールかもしれない」と、疑いの目を持ちつつ、メールを確認するようにしましょう。
おまけ
フィッシング報告件数:2020年
フィッシングの報告件数は、2020年1月から11月までに4.65倍と、異常な増加傾向にあります。
出典:フィッシング対策協議会
- コロナ禍で在宅時間が増え、ネットショッピングを使う頻度が増えた
- フィッシング詐欺を行う者にとっては、狙うべき絶好のタイミング
新型コロナウイルス感染症(COVID-19)が続く限りは、フィッシングも増え続けるでしょう。
自分がフィッシング被害に遭わないようにするだけではなく、周りのお年寄りや情報弱者にも、手を差し伸べていけるような世の中になることを願っています。
ではまた(#`・ω・´*)/
コメント