Life Up

Amazonフィッシングメール見分け方・対策とは?ヘッダー解析で即分かる!

Amazonフィッシングメール見分け方・対策とは?ヘッダー解析で即分かる!Life Up
この記事は約20分で読めます。

こんにちは、自称セキュリティ向上委員のしゃおです。

しゃお
しゃお

今年もやってきました!

 

Amazonフィッシングメール例

Amazonを騙るフィッシングメール!

 

引っかかって

  • クリックしてしまった
  • 住所や名前・クレジットカード情報など、個人情報を入力してしまった

となってしまった場合の「対処方法と、ならないための「見分け方&対策について、まとめてみました。

 

この記事をおすすめしたい方
  • Amazonを騙るフィッシングメールについて知りたい
  • フィッシングメールの見分け方について、簡単に理解したい
  • フィッシングメールが着たら、どうすれば良いか
  • 正規のメールか、フィッシングメールか、分からないときに即分かる方法を知りたい
  • 引っかかってしまった場合の対処方法を知りたい
  • フィッシングメールのヘッダー解析結果(セキュリティ)に興味がある

 

スポンサーリンク

フィッシングメールの見分け方・見破り方6つ+α

以下6つがAmazonのフィッシングメールの見分け方&見破り方です。

D君
D君

+αは被害拡大防止のため

フィッシングメールの見分け方・見破り方
  1. 日本語がおかしい
  2. 「アカウントの停止」の場合 → ログインを試す
  3. メッセージセンターでメールを確認
  4. リンクアドレス(URL)の確認
  5. 送信元・返信先・リターンパスの確認
  6. ヘッダー解析

 α.フィッシングメール・なりすましをAmazonへ報告

 

日本語がおかしい

フィッシングメールは、日本人ではない者が送っている場合が多いので、どこか日本語がおかしい(不自由な)ことが多いです。

フィッシングメールか怪しいときは、件名や本文の以下の点を意識して見て、判断しましょう。

チェックポイント
  • 1つの単語の中に、全角と半角が混ざっている
  • 句読点の位置がおかしい
  • 助詞(「を」「に」「が」「は」など)が不自然

 

「アカウントの停止」の場合、ログインを試す

アカウントが停止されていないのに、停止しているかもと、ユーザを不安にさせ、メール内のリンクをクリックさせようとするフィッシング行為です。

 

正規AmazonのURLからログインを試すと、アカウントが停止されているかどうか、即分かります!

 

チェックポイント

正規AmazonのURLからログインを試す

  • ログインできる → アカウントは停止されていない → フィッシングメール
  • ログインできない → アカウントが停止されている → 正規メール

 

メッセージセンターでメールを確認

Amazonからのメールは、メッセージセンターである程度確認可能です。

 

アカウント&リストから

Amazon_アカウントサービス

アカウントサービス

 

Amazon_Eメールとメッセージ

Eメールとメッセージ > メッセージセンター

 

Amazon_メッセージセンター(メール一覧)

メッセージセンターには、画像のようにAmazonからアカウントに送信されたメール一覧を確認することができます。

 

ただし、広告メールや一部通知メールについては確認できません

気になるメールがあった場合は、カスタマーサービスへ問い合わせましょう。

 

リンクアドレス(URL)の確認

公式ページのURLとなっているか確認しましょう。

  • URLの場合 → リンクのURLを見る
  • ボタンの場合 → PCならボタンにカーソルを合わせてブラウザの左下に表示されたURL、スマホならボタン長押しでリンクのURLをコピー後、メモアプリなどに貼り付けて確認可能

 

Amazon.co.jpの正規URLは?
  • https://××.amazon.co.jp/
  • amazon.co.jp/

上記どちらかで始まれば、正規URLです。

引用:フィッシングまたはなりすましメールの種類 – Amazon

 

送信元・返信先・リターンパスの確認

Amazon.co.jpが使用する差出人メールアドレスの正規ドメイン
  • amazon.co.jp
  • amazon.jp
  • amazon.com
  • amazonbusiness.jp
  • email.amazon.com
  • marketplace.amazon.co.jp
  • m.marketplace.amazon.co.jp
  • gc.email.amazon.co.jp
  • gc.amazon.co.jp
  • payments.amazon.co.jp

Amazonいわく

上記10ドメイン以外の場合は、フィッシングやなりすましの可能性があります。

上記ドメイン以外を使用する場合もあります。Amazon.co.jpが送信したEメールは、メッセージセンターでご確認いただけます。

ということでした。

 

引用:Amazon.co.jpが使用する差出人Eメールアドレス – Amazon

 

不正なアドレス例
  1. amazon-security@hotmail.co.jp
  2. amazon-payments@gmail.com
  3. seller-performance@paymentsamazon.co.jp

1,2は、@より前のユーザ名は一見Amazonのようですが、ドメインが完全に異なります。

 

3は、パッと見では正規ドメインに似ていますが、「.(ドット)」が「-(ハイフン)」になっています。

しゃお
しゃお

すぐに確認したい方は、「Amazon.co.jpが使用する差出人Eメールアドレス – Amazon」をブックマークしておくのがオススメ!

 

ヘッダー解析(3つの認証について)

D君
D君

セキュリティに興味がある方は、ヘッダー解析がおすすめです。

前提知識(理解しておくこと)

電子メールは、以下2つで構成されていると理解しよう!

  • 送信者や宛先、日時や件名など → ヘッダー
  • メッセージ本文 → ボディ

ヘッダー解析とは、上記ヘッダーの認証部分3ヵ所を見るだけで、99.9%(ほぼ確実に)フィッシングメールか判断できる方法です。

 

ヘッダーを見ると、認証部分3ヵ所でそれぞれ、「スコア(値)」を確認することができます。

※実際の解析のやり方については、3ヵ所の説明のあと

 

しゃお
しゃお

3ヵ所とスコアについて、簡単に説明していくよ。

SPF(Sender Policy Framework)

送信元メールサーバのIPアドレス認証 = 正しい送信元かどうか

 

  • 読みは、そのままエスピーエフ
  • ヘッダー内から「spf」や「spf=」で検索すると、すぐに見つけることができる
しゃお
しゃお

郵便でいうと、どこの郵便局から送ったか

認証結果
スコアスコアの意味
pass認証成功
hardfail認証失敗・送信元メールアドレスは詐称されている
softfail認証失敗・送信元メールアドレスは詐称されている可能性がある
neutral認証失敗・送信元メールアドレスの正当性を判断できない
temperror認証不可能・認証処理に障害が発生
permerror認証不可能・認証情報の記述に誤りがある
none認証情報が存在しない

出典:送信ドメイン認証について – IIJmio

 

DKIM(DomainKeys Identified Mail)

送信メールの電子(デジタル)署名認証 = 電子メールが改ざんされていないか

 

  • 読みは、ディーキム
  • ヘッダー内から「dkim」や「dkim=」で検索すると、すぐに見つけることができる
しゃお
しゃお

送信者から宛先に届くまでに、内容の変更がされていないか

認証結果
スコアスコアの意味
pass認証成功
fail認証失敗・メールが改ざんされている
neutral認証失敗・文法エラー、署名認証の処理過程でエラー、予期しないエラーが発生
temperror認証不可能・認証処理に一時的な障害が発生
permerror認証不可能・認証情報の記述に誤りがある
noneメッセージは署名されていない

出典:送信ドメイン認証について – IIJmio

 

DMARC(Domain-based MessageAuthentication, Reporting, and Conformance)

SPFとDKIMを利用したドメイン認証補強技術 = 上記2つの認証失敗時の処理判断に使われる

 

  • 読みは、ディーマーク
  • ヘッダー内から「dmarc」や「dmarc=」で検索すると、すぐに見つけることができる

※DMARCは、なりすましメールやフィッシング対策のため、Google・Facebook・Microsoftが合同で立ち上げた「DMARC.org」が提唱しているセキュリティ技術です。

しゃお
しゃお

DMARCレコードがあり、ポリシーに適合するか

認証結果
スコアスコアの意味
passDMARCレコードが見つかり、ポリシーに適合した
failDMARCレコードが見つかり、ポリシーに適合しなかった
noneDMARCレコードが見つからなかった
temperror一時的なエラー
permerror永続的なエラー

出典:送信ドメイン認証について – IIJmio

 

詳しく知りたい方は「DMARCについて – Google」を参照

 

ヘッダー解析のやり方

ヘッダー詳細を開く

ヘッダー解析(上記3ヵ所を確認)するためには

  • PCでメール開き
  • スマホならば、PC版ビューワー(PC版サイトで開く)でメールを開き

ヘッダー詳細を見なければなりません。

 

PCの右クリックやスマホの長押しから「ヘッダー詳細」や「メールソース」を探してクリックするだけでOKです。

ヘッダー詳細の確認方法

例として、GmailとYAHOO!メールのヘッダー詳細の確認方法を載せておきます。

Gmail

Instagramから届いたメールのヘッダー詳細を見てみます。

メールヘッダー詳細確認方法_Gmail01

メールを開き、右上の「︙(その他)」をクリック

 

メールヘッダー詳細確認方法_Gmail02

メッセージのソースを表示」をクリック

 

メールヘッダー詳細確認方法_Gmail03

 

Gmailは、SPF・DKIM・DMARCを表示してくれるため、すぐに確認できます。

しゃお
しゃお

優しい。。。さすがGoogle様!

認証結果はすべて「PASS」となっているのを確認 → 正規メール

 

ちなみに、元のメールをダウンロードより下には、ヘッダー詳細(メッセージのソース)が続いています。

YAHOO!メール

Instagramから届いたメールのヘッダー詳細を見てみます。

メールヘッダー詳細確認方法_YAHOO!メール01

 

メールを右クリック > 「詳細ヘッダー」をクリック

 

メールヘッダー詳細確認方法_YAHOO!メール02

 

詳細ヘッダーのウィンドウが開いたら

  • 「spf」「dkim」「dmarc」で検索
  • 目Grep

で認証部分を見つけます。

 

※メールを開いたあとならば、件名の右端の「詳細を表示 > 詳細ヘッダー」をクリックでも詳細ヘッダーを見ることが可能

 

認証結果、SPFとDKIMは「pass」 → 正規メール

※今回のメールはInstagramからの古いメールのため、DMARC認証に対応していません。

ワンポイントアドバイス
  • メールの送信元がDMARC認証に対応していない場合は、ヘッダー詳細に『DMARC』という文字は表示されない」と覚えておきましょう。

 

その他のWebメール・メールソフトでも、大体同じような操作でヘッダー詳細が確認できます。

 

しゃお
しゃお

フィッシングやなりすましと判定したら

Amazonへフィッシングまたはなりすましメールを報告

最終的に、Amazon(stop-spoofing@amazon.com)へ、フィッシングまたはなりすましメールを報告することで、被害拡大防止に努めましょう。

フィッシングまたはなりすましメールを報告する – Amazon

 

実際に届いたメールがフィッシングか判定してみる

頻度で言うと、年に3通ほど、Amazonを騙るフィッシングメールが私の元にも届くので、そのメールをフィッシングが判定してみます。

フィッシングメールと判断したメールの件名
  • 【重要】Аmazon. co. jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認
  • 「重要」ログインのお知らせ – お客様のアカウントは強制停止されています
しゃお
しゃお

リアルなメールですので、個人情報に関する部分はモザイク済

【重要】Аmazon. co. jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認

Amazonフィッシングメール_【重要】Аmazon. co. jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認

判断理由
  1. 件名など、すべてのAmazonが「Amazon」 → Aだけ全角
  2. 本文の1行目が名前ではない → Amazonお客様
  3. 本文の日本語がおかしい(日本人ではない人が書いたような文がある)
  4. リンクのアドレスが怪しい
  5. ヘッダー解析をしてみた結果、明らかにフィッシングメール

 

①件名など、すべてのAmazonが「Amazon(Aだけ全角)」

件名含め、8ヵ所がAだけ全角のAmazon → 本来はすべて半角が正しい

 

②本文の1行目が名前ではなく、「Amazonお客様」

正規のAmazonならば、「Amazonお客様」などありえません!

登録してあるはずの氏名が分かっていない時点で、フィッシングメールの疑いが濃厚です。

正規Amazonからのメールは?
  • 正規Amazonからの注文や広告メール → 「氏名様」
  • 正規Amazonの配送メール → 「氏様」(ヤマト運輸、日本郵便)

③本文の日本語がおかしい

期限切れになってるか・・・なぜ話し言葉?日本人ならば、「期限切れになっているか」でしょう。

他にも、おかしいところもあります。

※全部指摘すると、フィッシング詐欺業者が修正してくる可能性があるため、あえて記載しません。

 

④リンクのURL(アドレス)が怪しい

怪しいURL
https://amazon.co.jp.edc1b6c29e77fba9dc7832bbc0a19.buzz/?ggewfaqyerdout=d9ugqsup&fud6dvtn=XXXX@XX.co.jp&4efcot80rcuolr=fafdgh20191222XXXX@XX.co.jp

※アドレスはアクセスしないように、変更済み

※XXXX@XX.co.jpは私のメールアドレス

 

パッと見ただけでは騙されるかもしれません。

正規Amazonから着たメールと比較すると、おかしな点に気付きます。

正規Amazonのリンクは?
※詳しくは「リンクアドレス(URL)の確認」を参照

10通確認したところ、すべて上記のようにjpのあとは、「/」となっていました。

jpのあとに「.」で続くのはフィッシングメールです。

 

⑤ヘッダー解析してみた結果(認証を確認する)

  • Received-SPF: unknown → 送信ドメイン認証不可能(正当性を判断できない)
  • dkim=neutral → メールの電子署名認証失敗(署名の文法誤りなど)
  • dmarcなし

 

どうみても、なりすまし&フィッシングメールです。

 

送信元が正規な場合の表示は?
  • Received-SPFpass もしくは spf=pass
  • dkimpass
  • dmarcpass

SPF(送信ドメイン認証)は多くの会社が採用していますが、dkim(メールの電子署名)とdmarc(SPF&dkim失敗時の動作)は採用していない会社もあります。現在は採用が進みつつあるといったところです。

Gmail・YAHOO!メールはdkim・dmarcともに確認できたので、GAFAなどの世界的企業は、基本的に採用していると思われます。

 

「重要」ログインのお知らせ – お客様のアカウントは強制停止されています

 

判断理由
  1. 本文の1行目が名前ではない → Amazonお客様
  2. 件名など、すべてのAmazonが「Amazon」 → Aだけ全角
  3. リンクのアドレスが怪しい
  4. 実際にAmazonにログインできるか試して、異常がないことを確認
  5. ヘッダー解析をしてみた結果、明らかにフィッシングメール

こちらは、おかしな日本語はありませんでした。

D君
D君

日本語力が上がってきているのは、イヤですね。

 

※1~3は上記と変わらないため省略

 

④実際にAmazonにログインできるか試す

メールからではなく、正規のAmazonからログインを試したところ、普通にログインできる&アカウントが停止されていないことが確認できました。

しゃお
しゃお

メールのリンクから確認は、ダメゼッタイ!

 

⑤ヘッダー解析してみた結果(認証を確認する)

  • Received-SPF: unknown → 送信ドメイン認証不可能(正当性を判断できない)
  • dkim=neutral → メール電子署名認証失敗(署名の文法誤りなど)
  • dmarc=permerror → 永続的なエラー

 

こちらも、なりすまし&フィッシングメールです。

しゃお
しゃお

ヘッダー解析でのフィッシングメール判断は余裕ですね!

もう一度、ヘッダー詳細の確認方法を知りたい方はこちら

 

既にクリックした場合の対処方法

メールのリンク(ボタンやURL)をクリックしただけなら、ほぼ問題ありません。

冷静にブラウザを閉じてください。

 

ただし、何か異変を感じた or 何か起きたときは対処した方が良いでしょう。

例えば
  • リンククリック後にファイルがダウンロードされた
    →ダウンロードされたファイル名をメモ
    →ダウンロードされたファイルを削除
    →メモしたファイルがダウンロードされたPCやスマホで、ファイル名を検索し、他の階層(フォルダ)にないか確認するなど

※ハッシュ(Hash)値という言葉が分かる方は、「ファイル名」を「ハッシュ値」に置き換えてください。

 

フィッシングメールのリンクからログインしてしまった

ログイン情報(メールアドレスとパスワード)が漏洩している可能性大です。

早急にパスワードの変更を行い、正規URLからログインを試す

 

正常にログインできた場合、パスワードが簡単でない限りは被害は出ないでしょう。

一応、購入履歴などを確認しておくと良いです。

 

既にログインパスワードが変更されてしまい、ログインできない

完全にログイン情報が漏洩フィッシング業者にログインパスワード+αが変更されています!

→自分では対処できないので、すぐにAmazonカスタマーサービスへ問い合わせを行い、現在までに確認できていることを伝えましょう!

 

クレジットカード情報を入力してしまった

Amazonのログイン情報クレジットカード情報が漏洩している可能性大です。

→自分では対処できないので、すぐにAmazonカスタマーサービスへ問い合わせ+カード会社にも連絡を行いましょう!

 

Amazonに限らず、今すぐできるフィッシングメール対策

二段階認証・二要素認証を活用

Amazonでも二段階認証の利用が推奨されています。

ログイン情報が漏洩したときでも、安全を守れる1つの手段です。

2段階認証を有効にする – Amazon

しゃお
しゃお

面倒でも、利用すべきですね。

 

メール本文のリンクから設定変更をしない

ユーザ情報(個人情報)の設定変更などを行う場合は、ホームページや正規URLから行うのを癖付けると良いかもしれません。

 

D君
D君

ブックマークなどを利用すると楽できるよ

確実に正規メールと判断できているメールのリンクから(100%フィッシングメールではないと自信がおあり)であれば、良いかもしれませんが。

 

 

なんとなく怪しいと思ったら

ヘッダー解析を行いましょう!

しゃお
しゃお

慣れたらすぐにできるようになるよ。

ヘッダー詳細をパパっと見るだけで、なりすましやフィッシングメールと判断できると考えれば、今後の人生安泰ですね!

D君
D君

メールについては今のところ、そうかもしれませんが、人生は言い過ぎですw

 

まとめ

フィッシングメールの見分け方・見破り方
  1. 日本語がおかしい
  2. 「アカウントの停止」の場合 → ログインを試す
  3. メッセージセンターでメールを確認
  4. リンクアドレス(URL)の確認
  5. 送信元・返信先・リターンパスの確認
  6. ヘッダー解析

 α.フィッシングメール・なりすましをAmazonへ報告

送信元が正規な場合のヘッダー詳細の表示は?
  • Received-SPFpass もしくは spf=pass
  • dkimpass
  • dmarcpass

 

Amazon.co.jpの正規URLは?
  • https://××.amazon.co.jp/
  • amazon.co.jp/

上記どちらかで始まれば、正規URLです。

Amazon.co.jpが使用する差出人メールアドレスの正規ドメイン
  • amazon.co.jp
  • amazon.jp
  • amazon.com
  • amazonbusiness.jp
  • email.amazon.com
  • marketplace.amazon.co.jp
  • m.marketplace.amazon.co.jp
  • gc.email.amazon.co.jp
  • gc.amazon.co.jp
  • payments.amazon.co.jp

フィシングメールは、決して他人事ではありません。

 

使用するサービスやアプリが増えるほど、フィッシング被害に遭う確率が上がると考えておいて損はないでしょう。

 

私は大丈夫と思わず、「フィッシングメールかもしれない」と、疑いの目を持ちつつ、メールを確認するようにしましょう。

 

おまけ

study

フィッシングと判断・判明したメール一覧

こちらは、新たなパターンのフィッシングメールが届いたら、随時増やしていこうと思っています。

件名一覧
  1. Amazonセキュリティ警告: サインインが検出されました
  2. Verify your identity!
  3. Amazonフィッシングメール_この措置を講じましたが、ご提供いただいた情報がカード発行会社のファイルの情報と一致していません。

 

Amazonセキュリティ警告: サインインが検出されました

Amazonフィッシングメール_Amazonセキュリティ警告 サインインが検出されました

  • 親愛なメールアドレス? → 正規Amazonなら名前か名字のはず
  • リンクも当然、正規AmazonのURLではない
  • 一応、ヘッダー詳細も見てみると

SPFerrordkimpermerrordmarc=permerror

 

はい、フィッシングメール。次!

 

Verify your identity!

Amazonフィッシングメール_Verify your identity!

2は、米国のAmazon(amazon.comから)

  • 日本語に違和感はない
  • リンクは、IPアドレス/web.php → 怪しい
  • ヘッダー詳細は

SPF: softfaildkim=neutraldmarcなし

はい、フィッシングメール!

 

この措置を講じましたが、ご提供いただいた情報がカード発行会社のファイルの情報と一致していません。

Amazonフィッシングメール_この措置を講じましたが、ご提供いただいた情報がカード発行会社のファイルの情報と一致していません。

このメール、タイミングが完璧で、本物かと思いました。

しゃお
しゃお

本当に、Amazonで買い物した直後

 

いつも通り、ポイントを見ていけば、余裕で判断できます。

  • メッセージセンターにメールはない。
  • 日本語に違和感あり! → Amazonのaがα、jpのpがρ
  • リンクは、www.linked.com/から始まるアドレス → 正規Amazonではない
  • ヘッダー詳細は

SPF: nonedkim=permerrordmarc=permerror

はい、フィッシングメール!

 

フィッシング報告件数:2020年

フィッシングの報告件数は、2020年1月から11月までに4.65倍と、異常な増加傾向にあります。

フィッシング報告件数_202011

出典:フィッシング対策協議会

 

増加の要因
  • コロナ禍で在宅時間が増え、ネットショッピングを使う頻度が増えた
  • フィッシング詐欺を行う者にとっては、狙うべき絶好のタイミング

 

新型コロナウイルス感染症(COVID-19)が続く限りは、フィッシングも増え続けるでしょう。

 

自分がフィッシング被害に遭わないようにするだけではなく、周りのお年寄りや情報弱者にも、手を差し伸べていけるような世の中になることを願っています。

 

 

ではまた(#`・ω・´*)/

 

 

 

スポンサーリンク
しゃお:管理人をフォローする
DiyNetBank

コメント

タイトルとURLをコピーしました