ここ1〜2週間ほど、「怪文書」と呼ばれるJARL転送メールを使ったSPAMの情報がXで広がってました。JARL転送メールを使って、個人の思想?正当性?を広めようとしている内容のようです(内輪もめには興味なし!)
普段はJARL転送サービスを使っていないのですが、将来的なフィッシング詐欺対策の参考にしようと、あえて受け取って解析し、AWS Trust & Safety チームに報告してみました。
※「ITセキュリティに詳しいJARL担当者」がいれば、こんなことしなくていいんですけどね…
ちなみに、AWS Trust & Safetyに報告が受理されて問題ありと判断されると、アカウント所有者に通知が届きます。この通知に24時間以内に返信しないと、リソースやアカウントの停止といった措置が取られることがあります。しかもやり取りはすべて英語です。
※Abuse reportの詳しいことは詳しくはこちらをどうぞ↓
前提条件
SPAMメールのヘッダ解析と、踏み台サーバがAWSであることの確認が前提になります。
攻撃手法の公開につながるため、解析の具体的な方法はここでは触れません。ただ、最低限インターネットの基本的な仕組みは理解しておく必要があります。
不正行為報告フォームへアクセス
報告先は、下記の「Amazon AWS 不正行為報告フォーム」からたどっていきます。
https://repost.aws/ja/knowledge-center/report-aws-abuse
詳細を報告する
報告はすべて英語です。
技術的な内容は伏せますが、背景情報として↓のような内容を英文で記載しました。
[Background]
- The SPAM is simultaneously sent to multiple Japanese amateur radio stations who utilize the service.
- JARL.COM provides email forwarding service, in which target email address is easily guessable by anyone, because each address corresponds directly to the user's amateur radio callsign.
連絡先を書いて提出する
もちろん本名で提出です。
AWSからの応答に対応する
数日後、AWSから調査開始の連絡が届きました。内容は大きく3点:
- AWSの顧客(=今回の場合はJARL)と直接やり取りする必要がある場合、個人情報を提供してよいか
- 追加情報の提供を求めることがある
- AWSとさらに共有したい情報があれば返信を
「ITセキュリティに詳しいJARL担当者」には引き続き期待していないので(笑)、「今のところパートナーとの直接連絡は望まない」と伝えつつ、知人から得た追加情報を添えて返信しました。
Thank you for your reply.
I'm sorry to say that currently I do not wish to contact your partner directly.
I have more information about this matter.
My acquaintance, who received the same spam, gave me deeper insight into this incident.
[SPAMの原因についてさらに入手した情報]
Regards.
続報はまた改めて。