『詐欺メール』「KAGOYA セキュリティアップデート」と、来た件

サーバー管理者を標的にしたメール

迷惑メール系のエントリーがついに300本目となりました～！！
これもオーディエンスの皆さんのお陰です♪
これからも迷惑メールが続く限り啓蒙活動していきたいと思いますので
宜しくお願い致します。┏○))ﾍﾟｺ

さて、今回のエントリーは、サーバー管理者を狙った犯行です。
メール本文から見ていただきましょう。

大手レンタルサーバーの「カゴヤジャパン」さんのユーザーを標的にした
隔離メールの通知を装った迷惑メールです。
サーバー管理者を狙ったものなのでかなり悪質！！

件名は「KAGOYA セキュリティアップデート」
なんかメール本文の内容と件名が乖離してるような気もしますが…(汗)

本文中の”****@***.jp”には受信したメールアドレスが記載されています。

フランスからだった

では、いつものように送信元の情報を詳しく見ていきましょう！

こちらがこのメールのプロパティーです。

差出人の情報は「KAGOYA <uenoto@tam.ne.jp>」
”tam.ne.jp”は富山県にある”タムネット”ってプロバイダーの持ち物。
悪意のあるメールでここに本当のメールアドレスはあまり記載されずほとんどの場合は
偽装されています。
これもその可能性が大。
って、それ以前に大手レンタルサーバー「カゴヤジャパン」さんが”タムネット”って
プロバイダー名義のドメインを使ったでメールアドレスでメールを送るなんてあり得ません！！

もう少し身元を探ってみます。
メールの経路情報はメールヘッダーに複数ある”Received”ってところに記載されています。
この”Received”で一番古いものが差出人のメールが最初に通過したサーバー。
すなわち差出人の送信メールサーバー。
このメールでにはこのような記載がありました。

「5.196.117.234」ってIPアドレスががそれにあたります。
これを検索してみると、フランスなんて情報が出てきました。

やはり富山県にある”タムネット”なんてドメインは大嘘のようですね！

メールの本文を読むと、迷惑メールが隔離されているので本当に迷惑メールかどうか
確認したければ「どこでもメール」ってサイトへ行って見てこいって書いてありますね。
その「どこでもメール」ってサイトはリンクじゃなくて記載されたURL。

繋いでみるとメールサーバーから見に行ける「Active Mail」って名称のウェブメーラー

URLには”kagoya.net”ってカゴヤジャパンさんのドメインらしくなっていますが、
このサイトのドメインは”overallingestion.com”ですのでお間違いなく(^^;

次にこのURLに使われているドメインについて調べてみると。
このドメインは「162.241.87.44」ってIPアドレスに割当てられててそのIPアドレスは現在
アメリカ合のユタ州プロボと言う街で使われてるようです。

そしてこのドメインの登録申請はアメリカテキサス州から行われたことが分かります。

カゴヤジャパンさんがフランスからメールを送信しメールサーバーをアメリカに構築する…
絶対とは言い切れませんが普通に考えたらあり得ませんね！

このようなサーバー管理者を標的としたメールは一般には送られてこないとは思いますが
もしかして何らかの情報を求めて検索される方もいらっしゃるかもしれないのでエントリーを
させていただきました。
何かのお役に立てれば幸いです。