2月になってから急にAmazonビジネスの「法人価格をご利用いただけます」という勧誘メールが来るようになった。頻度はそんなに高くないものの、現在Amazonで利用中のアカウントと既にAmazonを退会したアカウントに隔週くらいの間隔で来る。
現在利用中のアカウントは常にAmazonからメールが来るのでそれほどでもないですが、退会済アカウントに来るのが鬱陶しいのでメールのリンクから配信停止を行ないました。そこでハッとした。これフィッシングと違うんかワレつかオレ。
とは言っても何も情報は送信していないので、釣られたとしてもメールアドレスの実在性とIPアドレス(プロバイダ情報)くらいのものです。しかし気にはなる。ネット上で調べると偽装メール、フィッシングメール、氏名+様が無いAmazonのメールは有り得ない等、やはり限りなく怪しい。
送信されてきたメールはこれです。退会アカウントにも来ているくらいなので、もちろんAmazon.co.jpのメッセージセンターには存在していません。
そして、配信停止はメールの下の方に「こちらから」というリンクがある。
このリンクの飛び先が"www.amazonbusiness.jp"というサイトです。普通のAmazonユーザーなら「ん?」と思いますよね。Amazonを語るフィッシング被害はとても多く、Amazon自身もそれを認識していて、下記のようなお知らせも出しています。
このヘルプを見る限り"amazonbusiness.jp"はAmazon.co.jpのサイトではありません。でも自分はこのリンクを押してしまいました。踏んだ先は下のようなページでした。
メールアドレスが適度に隠されていて、欲しい情報のチェックボックスが並んでいて(いらんけど)、一番下に「Amazonビジネスからのマーケティングメールを停止する」というリンクがあります。更に自分はこれを押してUnsubscribeしました。
このサイトの証明書を見ると
うーむ・・・認証局がLet's Encryptやないかいっ!
いや、Let's Encryptが悪い訳ではないのですが、ここはドメインを持っていれば誰でも90日間有効なデジタル証明書を発行してもらえます。つーか、怪しさが増大していきます。では、そもそも送られてきたメールは本物なのでしょうか。デスクトップの統合メーラーは貧弱なのでGmailで確認してみます。
送信元の"amazonses.com"はamazonが送信するならば有り得るので、今は気にしないとして、"business.amazon.co.jp"の署名が付いているという事は本物かも。念のためメールのソースも参照してみます。
送信ドメイン認証のSPF, DKIM, DMARC, それぞれ検証に成功しています。これは結構な確度で本物であると考えられますが、これで安全という訳でもありません。次に"amazonbusiness.jp"という謎サイトを調べていきます。まずはwhoisから。
うーむ・・・ドメイン名以外にamazonの欠片もない・・・怪しい。
関連のあるサイトならば本家のどこかにリンクがあるはず、と考えて最後は"Amazon.co.jp"のコンテンツを調べていきます。すると、Amazonビジネスの中にこんなのを発見しましたー!!!
この「お問い合せ」を押すと以下のフィッシングテイスト満載のデザインがダサいページに行きます。
そしてこのページでサーバー証明書を見ると、自分が踏んだ配信停止サイトの証明書と同一だという事が分かります。
これでメールとAmazon正規サイトと"amazonbusiness.jp"サイトの連関が成立し、全部が本物繋がりになりました。どうやらまだAmazonビジネスの会員ではない見込み客用のマーケティング情報を収集する専用サイト(あくまで個人的な推測なので信用しないでね)と思われ、これはAmazonであってAmazonではない、そんな扱いな気がします。
ただ、じゃあ、"amazonbusiness.jp"は釣りじゃないんだって事になると、またこれを模倣するフィッシングサイトに引っかかる人が無数に現れると思います。だから信用しないでください。全然安心なんかじゃないですよ、リンクなんて押さずにブロックするだけでいいんですよ、と言いたいです(無様に踏んでしまった自分に向けて...)。
そして、Amazonさん、Amazonビジネスさん、おたくらを模したフィッシング一番多いんですから、こういう怪しさを醸し出すやり方やめましょうよ。