« 日本シリーズ関連のセール | トップページ | 有名人に絡んでアクセス数を増やしたい訳じゃないんですよ »

2014年10月27日 (月)

Amazonマーケットプレイスと三菱東京UFJのフィッシングメール

以前、Amazonで不正ログインの被害が増えた記事の追記に書いた件で色々と情報が出てきたので時系列で書いていきます。

まず、Amazonで不正ログインに関し他に不審な動きがないか検索していたところ、知恵袋で2つの気になる質問を見つけました。
一つ目はyahoo.com.twで、もう一つは大阪府議会議員のメールアドレスでマーケットプレイスの取引相手に送信されたとのメールが届くとの相談。

Amazonについての質問です。最近Amazonで買い物をしたのですが。Amazon... - Yahoo!知恵袋
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q12135871712
アマゾンからよくわからないメールが来たのですが… ↓↓タイトル:Amazonマ... - Yahoo!知恵袋
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10135837920

マーケットプレイスを利用したことがなかったので、仕組みを調べてみると

Amazon.co.jp ヘルプ: マーケットプレイス・メッセージ管理
http://www.amazon.co.jp/gp/help/customer/display.html?nodeId=200455580

マーケットプレイス・メッセージ管理の仕組み マーケットプレイス・メッセージ管理を利用することで、出品者と購入者双方のEメールアドレスはAmazonによって匿名化され、個人情報としてのEメールアドレスを開示せずにメッセージを送受信することができます。Amazonによって匿名化されたアドレスのドメインは「@marketplace.amazon.co.jp」と表示されます。携帯電話のEメールのアドレスの場合は「@m.marketplace.amazon.co.jp」と表示されます。 例えば、購入者Aが出品者Bに連絡したい場合、マーケットプレイス・メッセージ管理のシステムによって、購入者Aの実際のEメールアドレスの代わりに、a222d34b3891234b@marketplace.amazon.co.jpといった、個別の匿名化されたEメールアドレスが割り当てられます。匿名化されたEメールアドレスが割り振られたあと、このEメールアドレスを購入者Aの差出人アドレスとしたメッセージが出品者Bに宛てて送信されます。 購入者と出品者の間で送受信されたEメールは、すべてサイト上で確認することができます。出品者は出品用アカウントのマーケットプレイス・メッセージ管理ページから確認してください。なお、Amazonから送信されたお知らせについてはこの機能で確認することはできません。マーケットプレイス・メッセージ管理ページでは、Amazonのシステムを利用して送受信されたメッセージの履歴が確認でき、メッセージを送信することもできますが、すでにご利用のEメールクライアント(Outlook, Hotmail, Gmailなどのアカウント)から匿名化Eメールアドレスを使って直接メッセージを送受信することもできます。

双方のメールアドレスを暗号化しAmazonを経由してやり取りしているので、誰に割り当てたメールアドレスかは把握できてると思われます。
この時点ではここまでしかわからず、何が起こっているのかよくわからない…
ここまでが以前の記事の追記での話の詳細。

ところが、最近になりツイッター上でこの件についてツイートしている人がいたため、ツイートを読んでいくとある程度状況が見えてきました。
email@bk.mufg.jpからメールが送信されているとのことで、検索するとこのメールアドレスは三菱東京UFJのフィッシングメールを送っていたようです。
yahoo.com.twも三菱東京UFJのフィッシングメールに利用されていたものと一致します。

ツイートの詳細な流れは全部使用すると長くなるので、こちらのリンクから個別にどうぞ。

https://twitter.com/Mew_n/status/524404365470076929/photo/1
https://twitter.com/Mew_n/status/524920180309118976
https://twitter.com/Mew_n/status/524920690323894272
https://twitter.com/Mew_n/status/524922632387317760
https://twitter.com/Mew_n/status/524924140214444034
https://twitter.com/Mew_n/status/524938450705731585
https://twitter.com/Mew_n/status/525252654381813760/photo/1
https://twitter.com/Mew_n/status/525254316542529537
https://twitter.com/Chu2B_S_F/status/525257840571592706
https://twitter.com/Mew_n/status/525259759063019520
https://twitter.com/Chu2B_S_F/status/525262579325620224
https://twitter.com/Mew_n/status/525264737936740354
https://twitter.com/Chu2B_S_F/status/525271265435598848
https://twitter.com/Mew_n/status/525275159217700865
https://twitter.com/Chu2B_S_F/status/525277248572510208
https://twitter.com/Chu2B_S_F/status/525288470650957825
https://twitter.com/Mew_n/status/525410103835770880
https://twitter.com/Mew_n/status/525410888820748289

Yahoo!知恵袋で同じメールアドレスの質問
同じようなメールが届いたが、Apple製品なのでウイルス感染の可能性は低いとの回答があります

Amazonから、マーケットプレイスへのEメールについてというメールが届き... - Yahoo!知恵袋
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11137326521

ここからは推測ですが、マーケットプレイスでの購入によるメールのやり取りで暗号化されたメールアドレスが記載されていたのなら、メールアカウントの不正ログインでアドレス帳ややり取りした相手のメールアドレスを収集された可能性があります。
そこにフィッシングメールを送信されていたが、たまたまAmazonのマーケットプレイスは暗号化されており登録されているメールアドレス以外からのメールは拒否していたので発覚したというシナリオです。
このシナリオが成立するには、Webメールなどを利用していて取引のメールが残っている間に不正ログインされた場合。
メールへの不正ログインの痕跡が残っていれば可能性が高そうですが、確認できていないのであくまでも仮説です。

三菱東京UFJのフィッシングメールはコレで説明がついたとしても、大阪府議会議員のメールアドレスが謎として残ります。
ひょっとすると標的型攻撃が表面化したのかもしれませんし、フィッシングメールを送っているグループと関連があるかもしれません。

実際にサービスを使っているわけでもないので、間違っていたり他に情報を持っている人がいればコメント欄かメールにでも気軽に連絡してくださいね。

追記
某巨大掲示板でも話題になってますね。
http://anago.2ch.net/test/read.cgi/yahoo/1413162001/95-100

検索からこの記事へのPVも予想以上にあるので、出品者側からのメールアドレスの流出の可能性もありますね。
メールの送信先が同じ出品者ならそこから流出した可能性が高いでしょうけど、誰か公表していないんだろうか?

« 日本シリーズ関連のセール | トップページ | 有名人に絡んでアクセス数を増やしたい訳じゃないんですよ »

情報セキュリティ」カテゴリの記事

コメント

当方も同じメールを受け取りました。
ただ、この出品者とは一度も連絡を取っておらず(というか他の出品者にも一度もメールをしたことがありません。そんな機能があることすら今回初めて知りました)、当方のメールアカウント側の不正アクセスでは無い気がするのですが…
ちなみに、Amazonへのログインもここ数年はiphoneでしかしていないため、ウィルス感染の可能性も極めて低いです。

情報ありがとうございます。
私はマーケットプレイスで購入したことがないのでわからないですが、過去の取引のメールにも暗号化されたメールアドレスの記載はありませんでしたか?
記述が無ければ出品者から流出したか、メールアドレスをランダムに作成して送信された可能性もあります。
ランダムに作成した場合はAmazonに大量のメールが届いているはずなのでAmazonが気付きそうそうなんですが、メールの返信からはそのような気配はないんですよ…
また、Amazonに不正ログインされた場合、ユーザーは表示履歴に変化が無いかぐらいしか調べようが無いですし、Amazon側の調査で気付いてもおかしくないんですよね。

もし差し支えなければ、どの出品者に送信されたのか教えてもらえないでしょうか?
他の人も同じ出品者への送信なら、その出品者から暗号化したメールアドレスが流出した事が考えられるので原因特定の貴重な手がかりになるので教えてもらえれば幸いです。
あと、Webメールを取引に利用していた場合、身に覚えのないアクセスログは無かったか調べてもらえればメールアドレスに不正ログインされたかわかりますので、そちらを確認してみてください。

調べてもはっきりしなかったんですが、発送完了メールの差し出し人は@marketplace.amazon.co.jpになってないでしょうか?

随分時間が経ってしまいましたが…やっと理由が判明しました。
仰る通り、メールアカウントに不正ログインがあったようです。
ソネットを利用しているのですが、公式にアナウンスがありました。
(取引相手と直接やり取りした記憶は無かったのですが、忘れていただけかもしれません…)
結構な人数の被害があるので、他の被害者ももしかしたらソネット利用だったのかもしれませんね。

おひさしぶりです。
貴重な情報をありがとうございます。災難でしたね。
So-netでしたか、2014年9月1日(月)~2015年1月20日(火)という時期も重なりますね。
メールアカウントが乗っ取られた場合は他のアカウントの乗っ取りの足がかりとして利用されることもあるので、So-netのメールアドレスで登録していたサービスは一通り不正ログインなど無かったか念のためにチェックしておいた方がいいですよ。

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« 日本シリーズ関連のセール | トップページ | 有名人に絡んでアクセス数を増やしたい訳じゃないんですよ »