スポンサーリンク
スポンサーリンク

潜入!Amazonを偽装する偽サイトに引っかかってみた 【フィッシングサイトの実例】

インターネット小話スマホ基礎

今回は、迷惑メールが来てすぐにリンクを開いて、実際に偽サイトで操作できましたので、レポートします。

ポイント
  • 偽サイトにデタラメなパスワードを入れてみた。
  • パスワード入力直後にブラウザが警告してくれた。
  • 偽のクレジットカードの認証画面も出てきた。
注意

通常は、迷惑メールのリンクやボタンはクリックしないでください!
検証にあたっては、個人情報などを入れていない端末を利用しています。

スポンサーリンク

また「アカウントの確認」と称するメールが届いた

これまでもAmazonを偽装するフィッシングサイトに誘導する迷惑メールはいくつもありまた。

ところが、これまではリンクをクリックしても、サイトそのものは表示されませんでした。

すぐに偽サイトという通報を受けて、ブラウザがサイトへのアクセスを停止したり、サイトそのものが閉鎖されてしまうからです。

そこで、生まれた疑問が「たった数時間しか動作しない偽サイトを作って、意味があるのだろうか?」ということでした。

届いたメールを見てみましょう。

Amazonを騙る迷惑メール

すでにGmailのサーバーが「迷惑メール」と判断しています。

このメールが[迷惑メール]に振り分けられた理由
以前迷惑メールと判断されたメールに類似しています。

さすがAIも賢いですね。

ということで、注意しつつ中身を確認してみます。

送信元アドレスを確認する

まずは送信者の確認です。

送信元アドレスは偽装されている

メールヘッダの送信アドレスを見ると、本物に見えます。

しかし、メールのソースを確認してみます。

電子メールのソースを見ると、実際の送信メールサーバがわかる
電子メールのソースを見ると、実際の送信メールサーバがわかる

実際に送信されたのAmazonではなく、「mail0.jiangyehandaoa.com」というメールサーバだということがわかります。

「なりすましメール」です。

郵便でいえば、住所は自分で好きなように書けますが、消印は変えられないですよね。

「jiang ye han dao a」って、中国語っぽいですが、どんな漢字なんでしょう?

偽メールの内容は「支払い情報の確認」

偽メール内容

Аmazon お客様
Аmazon に登録いただいたお客様に、Аmazon アカウントの情報更新をお届けします。

残念ながら、Аmazon のアカウントを更新できませんでした。
今回は、カードが期限切れになってるか、請求先住所が変更されたなど、さまざまな理由でカードの情報を更新できませんでした。

アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため Аmazon アカウントの 情報を確認する必要があります。下からアカウントをログインし、情報を更新してください。

[Аmazon ログイン]

なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。

アカウントに登録のEメールアドレスにアクセスできない場合
お問い合わせ: Amazonカスタマーサービス。

お知らせ:
パスワードは誰にも教えないでください。
個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。
オンラインアカウントごとに、異なるパスワードを使用してください。
どうぞよろしくお願いいたします。
Аmazon

メール内容からは、「クレジットカード情報の不備でAmazonアカウントの更新ができなかった」と書かれています。

「Amazonプライムなどの有料会員サービスの支払いができなかった」という設定なんでしょうか? そもそも有料サービスに登録していなければ、変だなと思ってくださいね。

ログインボタンの行き先は?

メール内に [Amazon ログイン]ボタンがありますので、慎重にURLアドレスを確認します。

ログインボタンのリンク先URLアドレス
ログインボタンのリンク先URLアドレス

やはり、Amazonにはリンクされていません。「ynzit.com/hagwahweh3fs2」という偽サイト特有のランダムなURLアドレスですね。

検証用のスマートフォンからアクセスしてみます。

Gmailアプリが不審なリンクの警告をしてくれた

すると、ここでもGmailが注意喚起してくれます。

ログインボタンを押すと「不審なリンク」という警告
ログインボタンを押すと「不審なリンク」という警告

不審なリンク

このリンクのリンク先は信用できないサイトです。ynzit.comにアクセスしてもよろしいですか?

Gmailの警告メッセージ

落ち着いて見るとよほどのことがないと引っかからなそうですが、メールアプリによっては注意のメッセージがないこともありますので、油断せずご注意くださいね。

フィッシングサイトに着いた

「続行」して、実際に表示されたのがこちら。

フィッシングサイトの入口
フィッシングサイトの入口

Amazonに登録しているメールアドレスとパスワードを入力させようとする、偽サイトです。

パスワードを盗み取ろうとする偽サイトのことを、「フィッシング・サイト」といいます。

この画面から不審な点がわかりますか?

本物のサイトに似せていますが、URLアドレスが違う
本物のサイトに似せていますが、URLアドレスが違う

本物のサイトに似せていますが、URLアドレスが「omiglsfksfg.fcty6.com」と異なってますね。

ですので、パスワード入力を求められたときは、まず URLアドレス を確認する必要があることがわかります。

ポイント

パスワード入力の前に、必ずURLアドレスを見る!

偽サイトなのにセキュリティ保護がある!?

ちなみに、アドレス欄を見ると、セキュリティ保護の鍵マークが表示されていることがわかります。

偽サイトなのに、サーバ証明書を持っているんですね!

セキュリティ保護といっても、安心はできません。途中経路でパスワードが傍受されないだけで、偽サイトの犯人には届いてしまうんです。

サーバ証明書の内容を確認してみました。

フィッシングサイトなのにセキュリティ証明書があった
フィッシングサイトなのにセキュリティ証明書があった

omigisfksfg.fcty6.com
Google Chromeで、このウェブサイトの証明書が Let’s Encrypt Authority X3 発行のものであると確認されました。

偽サイトのサーバ証明書

Let’s Encryptは、非営利団体Internet Security Research Groupの運営する証明書認証局で、TLSのX.509証明書を無料で発行しています。

やっぱり、こういう偽サイトの場合は無料のサーバ証明書を利用しているんですね。

ポイント

セキュリティ保護されているサイトだからといって、本物とは限らない

リダイレクトされている

ところで、偽サイトのURLアドレスを見ると、メールで表示されているURLアドレスと違うことに気づきます。

偽サイトにリダイレクトされている

これは「リダイレクト」といいます。

「リダイレクト」は、別のウェブページに自動的に転送をする仕組みのことです。通常は、ウェブサイトやウェブページのURLを変更したときに利用されます。

引越しの転送指定ですね。

偽サイトと入口サイトを別にすることで、セキュリティソフトにアドレスが「偽サイト」とマークされる前の間隙を突こうとしているんですね。

実際にでたらめなパスワードを入力してみた

フィッシングサイトを操作していくとどうなるのでしょう。

でたらめなパスワードでログインする

試しに「詳細」や「パスワードを忘れた場合」など、画面内の青い文字も押して見ましたが反応しません。

このログイン画面が見かけ倒しであることがわかりますね。

適当なメールアドレスを入力して、適当なパスワード「12345678」を入力してみました。

そのまま画面が進みます。

本来、数字だけのパスワードはありえないのですが、進みました。

偽サイトの作り込みが甘いですね。

Google Chromeのパスワード警告が表示された

ちなみに、パスワードを入力して「ログイン」ボタンを押したときに、警告のメッセージが表示されました。

Google Chromeのパスワード警告

パスワードを変更してください

サイトまたはアプリでのデータ侵害により、パスワード情報が漏洩しました。
omiglsfksfg.fcty6.com のパスワードを今すぐ変更することをおすすめします。

Chromeアプリのアラート メッセージ

このメッセージは偽サイトが表示しているのではなく、Chromeアプリが表示しています。

Google Chromeのヘルプページを見てみると、Chromeアプリの[セーフ ブラウジング] をオンにしていると、「第三者のウェブサイトやアプリのデータ漏洩で流出したパスワードとユーザー名の組み合わせを使用している場合、Chrome でアラートが表示される」と書いてあります。

ちゃんと怪しいサイトでのパスワード入力も監視してくれているんですね。

もし、このような警告が出た場合、偽サイトにパスワードを入力してしまったことになります。そのユーザー名とパスワードの組み合わせは安全ではないので、すぐにパスワードを変更します。

とはいえ、偽サイトがこういうメッセージを出すこともあるので、落ち着いて対処しましょう。

こういうときはインターネットアプリを一旦閉じてから、いつもの方法でログインし直してからパスワード変更をするのがおすすめです。

アカウント情報(住所・電話番号)を入力する画面が出てきた

さて、警告メッセージを消すと、住所などを聞いてくる偽ページになりました。

フィッシングサイトで住所などを聞かれる

画面のサイズが異様に小さいですね。怪しさが募ってきます。

ここでも、でたらめな住所・電話番号などを入力して進んでみます。

でたらめな住所と電話番号で「次へ進む」

支払い情報を入力する画面が出てきた

すると、次は「クレジットカード」。ここもでたらめな情報を入力します。

クレジットカードのパスワード入力画面が出てきた

支払い情報の次に、そして表示されたのが、こちら。

クレジットカードのパスワードの入力を促す画面です。

クレジット会社を偽装する画面

クレジットカードをウェブ会員に登録すると、インターネットの支払いの際に、カード情報に加えて、確認パスワードを入力するようになるんですよね。

この確認画面は通常は決済時に表示されるので、このように「アカウント確認」で入力することはありません。

URLアドレスをみると、偽サイトのままですしね。

偽サイトの終了画面にたどり着く

ここでも、でたらめなパスワードを入力すると…

偽サイトでの入力作業は終了

今、あなたは私たちのサービスを楽しむことができます信頼できるサービスをお選びいただきありがとうございますアカウントは24時間以内に確認されます10秒以内にアカウントにリダイレクトされます。

偽サイト

句読点のない不自然なメッセージで「信頼できるサービスをお選びいただきありがとうございます」と書いてあるのが、なんとも皮肉ですね。

全く信頼できません(笑)

この画面は10秒でAmazonに切り替わるのかと思ったら、一つ前のクレジットカード会社を偽装する画面になりました。

そこでループになったので、この偽サイト内のツアーはおしまいです。

偽サイトのその後(リダイレクトの厄介さ)

ちなみに、数日経って偽サイトがどうなっているのかもお伝えしておきます。

迷惑メールのログインボタンからはフィッシングサイトにつながってしまった
迷惑メールのログインボタンからはフィッシングサイトにつながってしまった

偽サイト(omiglsfksfg.fcty6.com)のアドレスには、つながらなくなっていました。

しかし、メールのリンクからは、フィッシングサイトにつながってしまいました。

内容は一緒の詐欺サイトが別のアドレス(garehr.zyqhwang.com)になっていたのです。

セキュリティサービスが偽サイトへのアクセスを制限しても、犯人側がメールのリンクURLのリダイレクト先を変更することで、詐欺メールが有効になっています。

いたちごっこですね。

これまでの事例ではすぐに詐欺メールが無効になっていましたが、今回はより厄介になっていることがわかります。

偽サイトをGoogleに通報するには?

今回のケースでは、フィッシングサイトだけでなく、メールのリンクURLも通報する必要があります。

実際にGoogleに通報してみます。

迷惑メールのリンクを長押ししてURLをコピーして、「フィッシング詐欺の報告」サイトに送信します。

Googleに偽サイトを通報する
通報完了

こういう通報の積み重ねで、インターネットのセキュリティは確保されているんですね。

まとめ:偽サイトのアカウント確認の不自然さ

今回はフィッシングサイトに実際に引っかかってみました。

ログイン画面はかなり巧妙にできていました。

GmailやGoogle Chromeのセキュリティ機能が、要所要所で警告してくれるので、安心して進めました。

しかし、時期やアプリによっては警告が出ないこともあるので油断は禁物です。

ここで確認しておきたいことが一つあります。

それは、「アカウント情報の確認」とは何なのか?ということです。

メールに書かれるままに、「アカウント確認が必要」とパスワードや個人情報を入力する前に、そもそも自分が何の操作をしているのか考えることが大切です。

最後までお読みいただいて、ありがとうございました。

こちらもどうぞ。

[Amazon] セキュリティの偽メールを見分ける2つのコツ(Gmailアプリの場合)
セキュリティのメールには、偽物もあるって聞くけど、どうやって見破ったらいいの?偽メールを見分けるために大事なのは、2つの「アドレス」です。Gmailを例に、送信元メールアドレスの見方、リンク先URLアドレスの見方を説明...
[本物のケース] Amazonセキュリティ警告:サインイン試行が検出されました 【ログインのメール承認】
Amazonを使っていたら、セキュリティのメールが届いたんだけど。今回は、本物のAmazonのセキュリティ警告のメールを見ていきましょう。ポイント自分でAmazonにサインイン操作をしていたら承認する。身に覚えがない...
どうすると詐欺サイトに引っかかってしまうか? 【乗っ取りアプリのインストールの流れ】
送られてきた不審なメッセージからスマートフォンを乗っ取られた、なんて聞くと不安になります。どうすれば、不審なメッセージを区別できるのでしょう。今回は、不正なアプリに「乗っ取られ」ないように、アプリをインストールするしくみに...
オンラインショップAmazonで買い物をする 【アカウントの作成とログイン】
オンラインショップでも一番大きいのがAmazonです。今回は、はじめてAmazonで買い物するための方法を丁寧に見てみたいと思います。Amazonの入り口Amazonで買い物するための入り口は、大きく分けて2つあります。...
QRコードを読み込むと、関連記事を確認できます。
潜入!Amazonを偽装する偽サイトに引っかかってみた 【フィッシングサイトの実例】
タイトルとURLをコピーしました