日本のIT企業がこんなドメインのメールアドレスを?! 以前にも件名違いで内容の詐欺メールをご紹介していますが危険度が高いので改めて再度 ご紹介させていただきます。 これは大手レンタルサーバー「さくらインターネット」に成りすましクレジットカードの 情報を盗み取る目的のフィッシング詐欺メールです。 件名は 「[spam] 【重要】さくらインターネット会員ご登録情報について」 ”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは 全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”さくらインターネット” <gkryve@zaxsijrwis.hk>」 「さくらインターネット」さんは国内有数の大手レンタルサーバー。 そんなIT企業が自社のドメインを使わないメールアドレスでユーザーにメールを送るなんて 信用の無いことをすると思いますか? しませんよね(笑) 因みに”.hk”は香港のトップレベルドメインです。 空きドメインでメールは送れません では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<gkryve@zaxsijrwis.hk>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<F0BE8323CE35B389F70BFE42068B6997@zaxsijrwis.hk>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from zaxsijrwis.hk (unknown [133.242.225.64])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみます。 おっと! プロバイダー名に「SAKURA Internet Inc.」さんが出てきちゃいましたね…(;^_^A ということは、差出した犯人も「さくらインターネット」さんのユーザーですね。 じゃ、差出人のメールアドレスに使われていたドメイン”zaxsijrwis.hk”について 調べることにします。 「The domain has not been registered」と書かれているのでこのドメインはまだ使われて いない空きのドメインです。 やはりメールアドレスは偽装されていましたね。 理由も無く身分証明書を要求 さて、本文です。 ■ご連絡日 [2021-12-11] 平素は弊社サービスをご利用いただき、誠にありがとうございます。 さくらインターネットabuse対策チームでございます。 ご登録いただきました以下の会員IDについて、登録の住所を確認できる 身分証明書のコピーをご提示いただけますでしょうか。 また、大変申し訳ございませんが、ご契約中のサービスに対しては、 利用の制限(通信の停止)を行っております。 こちらについては、ご本人様の確認が取れ次第解除させていただきます。 ▼期限 2021/12/30 まで | 以前のもそうでしたが、内容は本人確認のために身分証明書のコピーを提示しろ って内容です。 でもその提示理由がどこにも書かれていません。 どうやら「<会員登録情報の確認と更新のお願い>」と書かれているのでリンク先に 何らかの説明があるようです。 そのリンク先のURLがこちら。 使われているドメインは”secure-sakura.com” このドメインについて調べてみました。 持ち主は「中国 合山市」在住の個人。 割当てているIPアドレスは”115.144.69.25” このIPアドレスを使って実際の割り当て地を詳しく検索してみると。 隣国の首都が表示されました。 ここで営まれている詐欺サイトがこちら。 「さくらインターネット」さんの会員専用ログインページですね。 もちろん偽物のコピーページです。 適当に入力しログインしてみると。 あれ?会員登録情報の確認じゃなかったっけ? いきなりカードの情報を入力するフォームが表示されてるし… それはそうです、犯人の目的はこれでですからね(笑) まとめ 今回は「さくらインターネット」ユーザーを標的にしたものですのでそれ以外の方には まったくもって無意味な詐欺メールでした。 もっと言えば、標的がサーバー管理者に絞られるので犯人側から見れば対象はごく少数。 そんなITに長けたサーバー管理者が果たしてこのようなメールアドレスから来たメール なんて誰も信じないでしょうね。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |