×
×

amazon 「商品アンケートの参加者に選ばれました」QRコードからレビュー投稿で1,000円のギフト券-詐欺なのか検証してみた

amazonでレーザープリンターのトナーを購入した際、商品の箱(amazonの箱の中ではなく商品自体の箱)の中に「QRコード」が印刷された1枚のカードが入っていました。

入っていたQRコード付きのカード

実際に入っていたカード

カードに記載の内容

1000円のギフト券をプレゼント

おめでとうございます!商品アンケートの参加者に選ばれました!参加手順
1.QRコードをスキャンしてアンケートにお答えください。そして、完了した画面をスクリーンショットしてください。

[QRコード]

2.専用窓口へお知らせください:jp@freegift10.com
(タイトル:商品型番+注文番号
またはスクリーンショットを添付してください。)
注意事項:お客様のアカウントセキュリティのために、このカードの写真をレビューに添付しないでください。アマゾンは、お客様が製品写真の添付のみを許可します。

カードに記載の内容

購入したのは「ブラザー対応 Brother TN-291 黒1本 互換トナーカートリッジ 対応機種 HL-3170CDW HL-3140CW DCP-9020CDW MFC-9340CDW」です。

QRコードでアカウント乗っ取りの被害?

ネットで調べてみると、同様の事例があり、2019年9月ごろから始まり「アクセスするとアカウントが乗っ取られる」などの憶測が飛び交っていたようです。

また、実際にギフト券がもらえたとの報告もあるようです。

QRコードの情報は?

QRコードを読み取って内容を確認してみました。
QRコードの内容は「https://www.amazon.co.jp/review/create-review/edit?asin=B088R5H67J:5」のURLのみでした、実際にアクセスすると購入した商品のレビューページに遷移します。

QRコードからアクセスしたページ

実際のレビューページは?

amazonの購入履歴からレビューのページへアクセスするためのボタンがありますが、そこから遷移した場合のURLを確認してみます。

購入履歴ページ

「商品レビューを書く」をクリックしレビューページへ遷移しました。レビューページのURLは「https://www.amazon.co.jp/review/review-your-purchases/edit?_encoding=UTF8&asin=B088R5H67J&channel=YAcc-wr」

レビュー投稿ページ

それぞれのURL・パラメーターを確認

URLは上段がQRコード、下段が購入履歴からとなります。
https://www.amazon.co.jp/review/create-review/edit?
https://www.amazon.co.jp/review/review-your-purchases/edit?

/review/移行が少し異なります。

パラメーター無しでアクセスすると「購入した商品をレビュー」の一覧ページへ遷移するのでどちらも問題のないURLのようです。

QRコードからのURLパラメーター

asin=B088R5H67J:5

購入履歴からのURLパラメーター

_encoding=UTF8&asin=B088R5H67J&channel=YAcc-wr

比較

asin=B088R5H67J部分「製品個別番号」はどちらも同じですが、QRコードのパラメーターには「:5」が余分についています。仮に「:555555」や「:32r2rv」でも問題なくページは表示されますが「:」を外すと存在しない製品コードになり「ページが見つからない」アラートが出ました。
システム的には「:」以降は無視しているようです。

購入履歴からのURLには、asin以外に「_encoding」「channel」があります。
_encoding」は文字コードの指定、「channel」はJavaScriptの記述内にある”urlChannelId”の値として利用されていました。QRコードからのものはこのパラメーターがないので「”urlChannelId”: null,」となっていました。

いかがJavaScriptの内容です。「urlChannelId」以外は同じ内容でした。

QRコードからアカウトを乗っ取れるのか?

結論、QRコードに記載されているURLからの乗っ取りは無理だと思います。
QRコードに記載のURLがamazonではなく別のURLであれば、フィッシングすることも可能かもしれませんが、URLは正常なのでこの可能性はありません。

その他インラインフレームからの情報取得やリダイレクトを利用した情報取得、セッションハイジャックなどもQRコードに記載のURLからは不可能だと思います。

できるとすれば、amazonのレビュー投稿部分「create-review/edit」に脆弱性があり、「:5」やその他のパラメーターを付与しないことにより脆弱性を利用することができる以外ないと思います。

※「create-review/edit」も「/review-your-purchases/edit」もソースは同じなので表示しているファイル自体は同じファイルだと思います。

レビュー後にメール送信する宛先は?

レビューのスクリーンショットを送信するための宛先として記載されている「2.専用窓口へお知らせください:jp@freegift10.com」のメールアドレスを調べてみました。

ドメインを確認

freegift10.com」のwhois情報を確認してみました。

レジストラに「http://www.net.cn」(アクセスすると「https://wanwang.aliyun.com」へリダイレクト)の記述、登録者に「Alibaba Cloud Computing (Beijing) Co., Ltd.」、ネームサーバーが「DNS19.HICHINA.COM」「DNS20.HICHINA.COM」と記載があるので、中国で取得されたドメインでほぼ間違い無いと思います。

試しに応募してみました。

いろいろ確認しましたが、特に問題なさそうなので、応募してみました。
「本当に1,000円のギフトコードがもらえるのか?」が気になったので検証です。

添付で送った内容は、「レビューの完了画面」と「注文内容(注文番号と商品名がわかる部分のみ)」です。

指定のメールアドレス「jp@freegift10.com」に上記の内容を添付して送信しました。

釣られてみて

本日、10/5に送信したので結果はわかりませんが、その後進展があればまた記事にしたいと思います。

翌日に結果がわかりました。詳細は下記の記事をご覧ください。

3件のコメント

  • 純正は高いけれど、このインクだと気にせず使えます。

  • わたしもカートリッジが届き、この紙が入っていました。
    このサイトのコメントのおかげで、安心して、送信しました。
    1,000円分のギフトが戻るのが楽しみです。
    ありがとうございました。

  • 参考になってよかったです。
    ギフト券楽しみですよね。

コメントする

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)