Scribble at 2021-07-20 12:21:11 Last modified: 2021-07-20 12:38:38

添付画像

典型的なフィッシング詐欺のメールだ。

幾つかの理由で判断できるのだが、まず第一に「Amazon. co. jp」という空白を使った奇妙なドメインの表記だ。まともな理由でメールを送る人間が、わざわざこんな表記にする理由などない。IME を使っている言語圏では、IME の ON/OFF を僕のようにスペース・キーと特定のキーの組み合わせで設定しているなら、IME の ON/OFF を切り替えようしたら間違ってスペースが入ってしまうことはある。特に、言語設定が日本語から英語になってしまうトラブルがあって、このようなときは IME が ON/OFF どちらも対応できないため、切り替えに設定しているキーを押すと間違ってスペースが入ったりする。でも、そういう特殊な設定で IME を使っている人は滅多にいない筈である。ふつう全ての文字がアルファベットなら、途中でスペースを打ち込む理由はないだろう。ということは、まともでない理由、たとえば件名に "Amazon.co.jp" とあれば問答無用で削除するフィルタリングを回避するために、わざとスペースを挟んでいるといった理由が考えられる。そうでもなければ、これは単純なスペル間違いなのだが、そもそもアマゾンの場合は夥しい数のメールを配信するのだし、件名を手入力なんてするだろうか? あるいは手入力した内容をダブルやトリプルの体制でチェックもしないなんてことがあるだろうか。

第二に、送信元が no-reply@amazon.co.jp となっている。通知だけの目的で配信されるメールの送信元(From:)アドレスとして使われることが多いパターンだ。オンライン・サービスの事業者でも、通知だけの目的で送信し、相手とのやりとりを求めていないメールについては、こういうアカウントを使うことがある。「このメール・アドレスは送信専用です。返信しないでください。」とか書いてあるのを見たことがある方もいるだろう。そして、現にアマゾンからは Prime 会員になったときのウェルカム・メールとして no-reply@amazon.co.jp からメールが来たことがある。しかし、そのときでも必ず送信元アドレスには "Amazon" ではなく "Amazon.co.jp" という文字列が記載されており、どうもこれまでのメールと明らかに違う。実際、メールの From: 行なんて幾らでもメール送信プログラムで詐称できる。もう、うちの会社ではこんなことを15年以上は前から言ってきているし、前職でもセキュリティ事故について教えるためのパフォーマンスとして、全ての社員に「From: campaign@yahoo.co.jp」からのお知らせと称して、会員の中から抽選した結果、賞金1万円が当たったという趣旨の偽メールを送信したことがある。

第三に、文面が明らかに壊れている。冒頭から、

「Amazon. co. jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認

Amazon.co.jpにご登録のアカウント(名前、パスワード、その他個人情報)の確認..」

とか、意味不明な文言が繰り返される。これは件名と同じ文字列の繰り返しであろうが、件名を本文に繰り返すようなテンプレートの処理エラーが Amazon の社内で何のエラー・ハンドリングもなしにコード検知フローを通過するなんて、現今の IT 企業では考えにくい。それとも、メール配信を担当する事業部の人員は、15年前に PHP4 を覚えて Zend Certified Engineer の資格を得たばかりの僕の足元にすら及ばない無能ばかりなのか。また、本文には「 Аmazon お客様 [RECEIVER_ADDRESS] 」などという、典型的なテンプレート処理の失敗と思える文言が幾つかある。うちの会社にも、info@ や contact@ という、正式には応じていないが受信はできるようにしているブラックホール・アカウントに営業メールが山のようにやってきて、その中には某人材派遣会社のように、何年が経過しても全く同じテンプレートの処理ミスを繰り返して「[送信先企業] 様」などと冒頭に記載したメールを送ってくる馬鹿がいる。たぶん、送信内容の間違いに気づくために、自分たちのアカウントにも同じメールを送信するという知恵やノウハウすらない、学生が遊び半分にやっている会社なのだろう。

第四に、僕はこの手の〈パスワード変更を促して URL を本文に記載してクリックさせるメール〉には絶対にその場で応じない。パスワードを変更するとしても、既にアクセスできる状態にしてから、サイトのアカウント管理機能で手続きしている。それに、パスワードを意味もなく「変更せよ」と通知してくるサービス事業者などいないのであって、セキュリティ事故があってパスワードが漏洩したといった事情でもない限りは変更する必要を感じていない(当サイトで記事にしているとおり、パスワードの「定期的な」変更なんて10年くらい前から、情報セキュリティの実務家のあいだでは馬鹿げたルールだと知られていた)。よって、メール、しかも HTML メールなどというフィッシングのリスクしか無い馬鹿げた形式のメールをそのまま表示したり応答に使うなどということは、僕のようなセキュリティの実務としては愚行としか言いようがない。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る

※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook