Amazonを騙るメールの件名には、次のようなものがありました。
- 🔴 Amazon. co. jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認
- Amazonアカウントが閉鎖しようとしています!
- Amazon Services Japanアカウントを更新する最後の警告メール
- 緊急:あなたのAmazonアカウントは24時間以内に停止されます!
- アカウント情報検証を完成してください。
- お使いのAMAZON IDがロックされます. サービス番号:233479963211
- Amazonプライムを継続してご利用いただくために、会費のお支払いにご指定いただいたクレジットカードが使用できない場合は
- Amazon Services Japanアカウント:異常な活動
- [緊急の通知] Amazon idプライムのお支払いにご指定のクレジットカード有効期限が切れています!
- [Amazone緊急の通知] プライムのお支払いにご指定のクレジットカード有効期限が切れています!
- Amazon.co.jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認 1:37:42
正規のメールヘッダ(一部抜粋)は次のとおりです。
Received: from a25-4.smtp-out.us-west-2.amazonses.com ([54.240.25.4]:48116) by mx1.uchinodomein.jp with esmtps (TLS1.2:ECDHE_RSA_AES_128_CBC_SHA256:128) (Exim 4.89) (envelope-from <201811171123282cd4207b71c5492eb2bfd7adce80p0fe@bounces.amazon.co.jp>) id 1gNyhH-0004PZ-8o for usernamae@uchinodomein.jp; Sat, 17 Nov 2018 20:23:33 +0900 From: cs-reply@amazon.co.jp Subject: Amazon.co.jp パスワードアシスタント
次は詐欺メールのヘッダです
Received: from mail.mail6-amazon.com ([nnn.nnn.nnn.nnn]:59164 helo=mail6-amazon.com) by mailsv.uchinodomein.co.jp with esmtp (Exim 4.89) (envelope-from <rrlog@mail6-amazon.com>) id 1hHumx-0002Zq-1f for uchinouser@uchinodomein.co.jp; Sun, 21 Apr 2019 03:32:35 +0900 From: wswdqg <account-update@amazon.co.jp> Subject: Amazon.co.jpのアカウントの修正
From:のアドレスは、正規のものと同じです。
アマゾンは送信元のメールアドレスを公表していますが、詐称できるFrom:のメールアドレスではなく、envelope-fromのアドレスを公開してほしいものです。
日本国内では、アマゾンのメールは以下のようになっています。
From: ****@amazon.co.jp
Recieved: from ****.amazonses.com
Recieved: envelope-from ****@bounces.amazon.co.jp
第一のルールは、
送信元アドレスが****@amazon.co.jpの場合は、
Recieved: from amazonses.comか
Recieved: envelope-from ****@bounces.amazon.co.jpが無ければならない。
# Amazon.co.jp ##################################################### START # header __HDR_FROM_AMAZON_CO_JP From =~ /\@amazon\.co\.jp/i header __HDR_RCV_FROM_AMAZONSES_COM Received =~ /from.+\.amazonses\.com/i header __HDR_ENV_FROM_BOUNCES_AMAZON_CO_JP Received =~ /envelope-from.+\@bounces\.amazon\.co\.jp/i meta AUTHENTICATED_AMAZON_CO_JP __HDR_FROM_AMAZON_CO_JP && !(__HDR_RCV_FROM_AMAZONSES_COM || __HDR_ENV_FROM_BOUNCES_AMAZON_CO_JP) # とりあえずorで score AUTHENTICATED_AMAZON_CO_JP 6.0 describe AUTHENTICATED_AMAZON_CO_JP From Fake Amazon.co.jp # Amazon.co.jp ##################################################### END #
amazonから送られてくる送信元アドレスは公開されています。
- amazon.co.jp
- amazon.jp
- amazon.com
- amazonbusiness.jp
- email.amazon.com
- marketplace.amazon.co.jp
- m.marketplace.amazon.co.jp
- gc.email.amazon.co.jp
- gc.amazon.co.jp
- payments.amazon.co.jp
です。
件名に”Amazon”か”アマゾン”があるのに、送信元が上記でない場合、警戒します。
しかし、次のスパムサンプルのように、件名にAmazonがなく、送信元(From:)にAmazonが隠れている場合があります。
Received: from spammer.xyz ([nnn.nnn.nnn.nnn]:43350) by mailsv.uchinodomein.co.jp with esmtp (Exim 4.89) (envelope-from <admin@spammer.xyz>) id 1hM11n-0001EZ-8s for usernamae@uchinodomein.co.jp; Thu, 02 May 2019 11:00:51 +0900 From: Amazon Services Japan <admin@spammer.xyz.> Subject: アカウント問題
なので、Subjectも含む全ヘッダをAmazon検索することにします。
# OK Amazon Headers ################################################ START # header __HDR_ALL_AMAZON ALL =~ /amazon/i header __HDR_ALL_AMAZON_JP ALL =~ /アマゾン/ header __HDR_FROM_AMAZON From =~ /\@amazon\.co\.jp|\@amazon\.jp|\@amazon\.com|\@amazonbusiness\.jp|\@email\.amazon\.com|\@marketplace\.amazon\.co\.jp|\@m\.marketplace\.amazon\.co\.jp|\@gc\.email\.amazon\.co\.jp|\@gc\.amazon\.co\.jp|\@payments\.amazon\.co\.jp/i meta AUTHENTICATED_AMAZON1 (__HDR_ALL_AMAZON || __HDR_ALL_AMAZON_JP) && !__HDR_FROM_AMAZON score AUTHENTICATED_AMAZON1 3.5 describe AUTHENTICATED_AMAZON1 Fake Amazon Subject # OK Amazon Headers ################################################ END #
詐欺メールの件名にあるような、本来、正規の送信元からしか来ないはずのものが、上記の正規アドレス以外から送られてきた場合は、完全拒絶します。
# OK Amazon Subject 2 ############################################## START # header __HDR_SUBJECT_AMAZON_JP2 Subject =~ /にご登録のアカウント|名前、パスワード、その他個人情報|アカウントが閉鎖しようとしています!|Amazon Services Japan|アカウントを更新する最後の警告メール|あなたのAmazonアカウント|時間以内に停止されます!|IDがロックされます|プライムを継続してご利用いただく|>会費のお支払い|ご指定いただいたクレジットカード|有効期限が切れています!|ご登録のアカウント|パスワードアシスタント|アカウントの修正/ meta AUTHENTICATED_AMAZON2 (__HDR_ALL_AMAZON || __HDR_ALL_AMAZON_JP) && __HDR_SUBJECT_AMAZON_JP2 && !__HDR_FROM_AMAZON score AUTHENTICATED_AMAZON2 5.0 describe AUTHENTICATED_AMAZON2 Fake Amazon Subject # OK Amazon Subject 2 ############################################## END #
Amazon.co.jp からの連絡かどうかの識別についてによれば、
「http://××.amazon.co.jp」または「https://××.amazon.co.jp」で始まらないWebサイトの場合、Amazon.co.jpのサイトではありません。
本文の中にhttpリンクがあり、その中に.amazon.co.jpへのリンクが1つもなければ、警戒します。
詐欺メールの中に次のようなリンクがあることを念頭においてルールを作ります。
https://www.account-update.amazon.co.jp.auntamazoniont.jp/
# Fake Amazon link ################################################ START # body __BODY_HTML_LINK /https?:\/\/.+/ body __BODY_AMAZON_LINK /https?:\/\/.+\.amazon\.co\.jp\/.*/ meta AUTHENTICATED_AMAZON_LINK (__HDR_FROM_AMAZON || __HDR_ALL_AMAZON || __HDR_ALL_AMAZON_JP) && __BODY_HTML_LINK && !__BODY_AMAZON_LINK score AUTHENTICATED_AMAZON_LINK 2.0 describe AUTHENTICATED_AMAZON_LINK Fake Amazon Links # Fake Amazon link ################################################ START #
日本以外のAmazonについては問題が出るかもしれませんが、ここでは国内を対象とします。
まとめると、ルールは以下のようになります。
# Amazon.co.jp ##################################################### START # header __HDR_FROM_AMAZON_CO_JP From =~ /\@amazon\.co\.jp/i header __HDR_RCV_FROM_AMAZONSES_COM Received =~ /from.+\.amazonses\.com/i header __HDR_ENV_FROM_BOUNCES_AMAZON_CO_JP Received =~ /envelope-from.+\@bounces\.amazon\.co\.jp/i meta AUTHENTICATED_AMAZON_CO_JP __HDR_FROM_AMAZON_CO_JP && !(__HDR_RCV_FROM_AMAZONSES_COM || __HDR_ENV_FROM_BOUNCES_AMAZON_CO_JP) # とりあえずorで score AUTHENTICATED_AMAZON_CO_JP 6.0 describe AUTHENTICATED_AMAZON_CO_JP From Fake Amazon.co.jp # Amazon.co.jp ##################################################### END # # OK Amazon Headers ################################################ START # header __HDR_ALL_AMAZON ALL =~ /amazon/i header __HDR_ALL_AMAZON_JP ALL =~ /アマゾン/ header __HDR_FROM_AMAZON From =~ /\@amazon\.co\.jp|\@amazon\.jp|\@amazon\.com|\@amazonbusiness\.jp|\@email\.amazon\.com|\@marketplace\.amazon\.co\.jp|\@m\.marketplace\.amazon\.co\.jp|\@gc\.email\.amazon\.co\.jp|\@gc\.amazon\.co\.jp|\@payments\.amazon\.co\.jp/i meta AUTHENTICATED_AMAZON1 (__HDR_ALL_AMAZON || __HDR_ALL_AMAZON_JP) && !__HDR_FROM_AMAZON score AUTHENTICATED_AMAZON1 3.5 describe AUTHENTICATED_AMAZON1 Fake Amazon Subject # OK Amazon Headers ################################################ END # # OK Amazon Subject 2 ############################################## START # header __HDR_SUBJECT_AMAZON_JP2 Subject =~ /にご登録のアカウント|名前、パスワード、その他個人情報|アカウントが閉鎖しようとしています!|Amazon Services Japan|アカウントを更新する最後の警告メール|あなたのAmazonアカウント|時間以内に停止されます!|IDがロックされます|プライムを継続してご利用いただく|>会費のお支払い|ご指定いただいたクレジットカード|有効期限が切れています!|ご登録のアカウント|パスワードアシスタント|アカウントの修正/ meta AUTHENTICATED_AMAZON2 (__HDR_ALL_AMAZON || __HDR_ALL_AMAZON_JP) && __HDR_SUBJECT_AMAZON_JP2 && !__HDR_FROM_AMAZON score AUTHENTICATED_AMAZON2 5.0 describe AUTHENTICATED_AMAZON2 Fake Amazon Subject # OK Amazon Subject 2 ############################################## END # # Fake Amazon link ################################################ START # body __BODY_HTML_LINK /https?:\/\/.+/ body __BODY_AMAZON_LINK /https?:\/\/.+\.amazon\.co\.jp\/.*/ meta AUTHENTICATED_AMAZON_LINK (__HDR_FROM_AMAZON || __HDR_ALL_AMAZON || __HDR_ALL_AMAZON_JP) && __BODY_HTML_LINK && !__BODY_AMAZON_LINK score AUTHENTICATED_AMAZON_LINK 2.0 describe AUTHENTICATED_AMAZON_LINK Fake Amazon Links # Fake Amazon link ################################################ START #
これで、様子を見てみます。
問題発生
Recievedヘッダーにamazonawsがある場合、”amazon”を”header ALL”で検索すると、詐欺Amazonになってしまう。
検索対象をFromとSubjectに絞って、全体を変更した。