フィッシング

Amazonを騙るフィッシングメールが来たので調査してみた [状態が異常編]

2020-10-21

概要

Amazonになりすましアカウントの状態が異常であるため、ログインし情報を更新する旨のメールが届きます。
メールにあるリンクをクリックすると、Amazonのログイン画面を似せた偽物のサイトに誘導し、アカウント名(メールアドレス), パスワードおよび個人情報(クレジットカード情報を含む)を入力するように促します。

フィッシングメールの中身

実際に送られてきたメールがこちらです。

パッと見た感じはAmazonからのメールに見えなくもありません。が、よく読んでみると日本語がおかしい部分が見られます。
例えば、「バインディングされたカードが」や「異常は更新待ちです」など英語をそのままカタカナにした言葉や日本語として少しおかしい文章が混ざっています。

メールヘッダ

次に送られてきたメールのヘッダ情報を抜粋して見てみます。

 html
Return-Path: <admin@dzulxit[.]xyz>
:
:
Received: from dzulxit.xyz (tk2-242-30952.vs.sakura.ne.jp [160.16.201[.]206])
by yyyy.zz (Postfix) with ESMTPS id 5453C2020E4A4
for <xxxx@yyyy.zz>; Wed, 21 Oct 2020 14:15:42 +0900 (JST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=default; d=dzulxit.xyz;
h=Message-ID:From:To:Subject:Date:MIME-Version:Content-Type;
i=admin@dzulxit.xyz;
bh=Hr+giPcqnqrfIiWpIymHNjaJ4hJdMua4/S70JGX0LlI=;
b=kRqQ4iUY18jwWQl2hDlW46rOh646ScpihIJVnxuwcey9CeCEps8HriUsskfHGdhss4aPWWLVeFS+
Te64JOWPlgtdZnmlaXXvTnnFPNDG1y1EynJ+SWDPezMgnVDUqXH4jx+3RZlRGNN/FAbRzUg2cCBr
KQQ4J8rCs1xm3WuT0u0=
Message-ID: <20201021131541043546@dzulxit[.]xyz>
From: "Amazon.co.jp" <admin@dzulxit[.]xyz>

まず、送信元ですがこの手のメールには珍しく@amazon.co.jp以外のドメインとなっています。
ヘッダの中から以下のドメイン、IPについて追加で見ていきます。

  • dzulxit[.]xyz
  • tk2-242-30952.vs.sakura.ne[.]jp [160.16.201[.]206]

dzulxit[.]xyz

まずは、このドメインを登録している組織をwhoisで調べてみます。

 html
# whois.nic.xyz
Domain Name: DZULXIT[.]XYZ
Registry Domain ID: D195998339-CNIC
Registrar WHOIS Server: grs-whois.hichina.com
Registrar URL:
Updated Date: 2020-10-20T17:21:32.0Z
Creation Date: 2020-08-07T17:19:02.0Z
Registry Expiry Date: 2021-08-07T23:59:59.0Z
Registrar: Alibaba Cloud Computing Ltd. d/b/a HiChina (www.net.cn)
Registrar IANA ID: 1599
Domain Status: ok https://icann.org/epp#ok
Registrant Organization: zhou shi xiong
Registrant State/Province: hai nan
Registrant Country: CN

中国で登録されたドメインということがわかります。
また、登録は2020-08-07となっており、アップデートが2020-10-20となっています。そこから想像するとこのフィッシングメールはここ2ヶ月くらい前から送られ始めている。またはアップデート後の数日と思われます。

tk2-242-30952.vs.sakura.ne[.]jp [160.16.201[.]206]

送信元のIPを見てみます。こちらは国内のIPとなっています。このIP自体をAbuseIPDBVirusTotalで確認してみましたが今のところ踏み台などの報告はないようです。踏み台またはメールの送信サーバとして利用されたのではないかと思われます。AbuseIPDBに報告しました。(2020-11-01)

フィッシングサイト

実際のWebサイトを比較してみます。
まずURLがamazon.co.jpではないですし、見間違うような巧妙なドメイン名でもありませんでした。

ログイン画面

本物のログイン画面 偽物のログイン画面

見た目は非常に似ています。URLを見なければ間違ってメールアドレスを入力してしまいそうです。
違いとしては、よく見ると「Eメールまたは携帯電話番号」がBoldのようで少し見た目が違います。
何も入力せずに「次へ進む」をクリックしてみるとエラーが表示されましたが、エラーメッセージは日本語化されていないようです。
ダミーのメールアドレスをパスワードを入力すると、住所などの個人情報の入力画面が表示されます。

個人情報入力画面

そして、そのまま続けるとクレジットカードの情報まで入力を要求してきます。
このようにしてAmazonのログイン情報だけでなく住所, 氏名, クレジットカードなどの個人情報まで取られてしまいます。

実際のAmazonのページではこのような個人情報を入力させる画面は表示されませんが、疑わなければそのまま入れてしまうでしょう。

証明書情報

URLを見ると鍵マークが正しく表示されています。つまりSSL暗号化は正しい証明書で行われているということになります。ただし、SSL暗号化が正しいからといって、そのサイトが本物という証明にはなりません。この鍵マークに惑わされないようにしましょう。


証明書自体はLet's Encryptによって正しくサインされていることがわかります。
Let's Encryptは無料で利用できるため、誰でも正しく鍵がかかったサイトを作ることができます。このサイトもLet’s Encryptを利用してHTTPSでアクセスできるようにしています。すべてのサイトが無料でHTTPSでのサービスを提供できるメリットがある反面、このようなフィッシングサイトにも利用されてしまうのがなんとも言い難い現状です。

フィッシングサイトその後

2020-10-22(フィッシングメール受信の翌日)には、すでに偽物のログイン画面のページは表示されなくなっています。また、証明書も自己署名証明書になっていますのでアクセスする際にはブラウザから警告が表示されるようになっています。

まとめ

最近のフィッシングメールおよびフィッシングサイトは、本物と見間違うほど本物っぽく作られています。ですが、クリックする前にURL(本文に書かれているものではなく)を確認することでアクセスする前に気付くことができます。
仮にアクセスしてしまった場合も、URLや証明書をきちんと確認することが重要です。
また、リンクからアクセスするのではなく、ブックマークなどからアクセスすることでフィッシングサイトへの誘導から逃れることが可能です。

最近、様々な企業を装ったフィッシングメールが送られてきていますので気を付けましょう。

IOC

すべて2020-10-24時点での情報です。

  • dzulxit[.]xyz
    VirtusTotal : 1つSuspiciousとなっています。
  • tk2-242-30952.vs.sakura.ne[.]jp [160.16.201[.]206]
    VirusTotal : 1つSpamとなっています。
    AbuseIPDB : 報告はありません。AbuseIPDBに報告しました。(2020-11-01)
  • https://www.amazoonb[.]buzz/
    VirtusTotal : いくつかでPhishingとなっています。

-フィッシング

© 2020 Mister Style All rights reserved.