私のサーバーが中国からメッセージを?! 普段詐欺メールや迷惑メールが届くのは、いつも仕事用のメールアドレスばかりなのですが
今回は珍しく私の私用メールアドレスにこのような中国語ばかり書かれた意味不明のメールが届きました。 
生粋の日本人の私にはなんて書いてあるのかさっぱりわかりません。
と言う訳で今回もGoogle先生に翻訳をお願いしてみました。 | ***.*** 電子メール通知 最近、会社のメールボックスに大量のスパムメールが届いている.分析の結果、個人のユーザーのメールボックスが盗まれたため. 内部でスパムを送信している場合は、次の手順に従ってこの問題を解決してください。 1) メールシステムのセキュリティをさらに向上させるために、当部門は最近、各ユーザーのメールアドレスを更新します。 時間内にメールアカウントを登録して記録してください。 2) 期限内に登録されていないすべての電子メール アカウントは、メールの送受信が停止されます。復元するには、 OAでの申し込みが必要です。 3) 今週金曜日 (4 月 28 日) の午前 10 時までに申請と登録を完了してください。 ご不明な点がございましたら、企業管理情報部までお問い合わせください。 | 冒頭の”***.***”は、私の氏名ではなく私のメールアドレスの@より後ろのドメインが書かれています。 どうやら会社のメールボックスに大量のスパムメール(迷惑メール)届いており、分析した結果
メールボックスが盗まれてしまったようです。
メールボックスが盗まれると大量のスパムが届くってちょっとよくわかりませんが…(^^;) では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は
「安全升级通知:请及时更新邮箱证书,以免账户被禁用!」
そのままコピペしたので文字化けしてたらごめんなさい。
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。 これも一応訳してみると。 | セキュリティ アップグレードのお知らせ: アカウントが無効にならないように、電子メール証明書を時間内に更新してください。 | いかにもって感じの件名ですね。
日本語の中国語も”!”の付いている件名にロクなメールはありません。 差出人は
「postmaster <postmaster@***.***>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 「***.***」にはわたしのメールアドレスのドメイン部分が書かれています。
アカウント名は”postmaster”ですからサーバー管理者。
と言うことは、私のドメインを使ったメールサーバーの管理者を装っていることになりますね。
差出人の本当のアドレスは? では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「bgorjsypjumuasna@it-lvm.website」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
あれ?このアドレスのドメインはいつも間にか私のものと別のものに入れ替わっていますね。
もうこの時点で差出人は、私のメールサーバーの”postmaster”ではなく
”it-lvm.website”と言うドメインのメールアドレスを持っています。 | | Message-ID:「tencent_2130A796CC2826A569A6B33A@it-lvm.website」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from ivcbkp (unknown [171.14.90.137])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | もうこの時点でメールアドレスの偽装はほぼ確定。
これは特定電子メール法違反となり処罰の対象とされます。 ※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する では、”Return-Path”にあったドメイン”it-lvm.website”について調べてみます。 
”1.14.59.4”がこのドメインを割当てているIPアドレス。
本来同じでなけれならない”Received”のIPアドレスが”171.14.90.137”ですから全く異なります。
どうやらこのアドレスも偽装しているようですね。
今度はこのIPアドレスを逆引きしてみることにしました。 
するとこのIPアドレスには”163data.com.cn”なんてドメインが割り当てられていました。
”dynamic.163data.com.cn”でネット検索してみると、数々の悪事に対する書き込みがたくさん
出てきました。 「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”171.14.90.137”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。 
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 代表地点としてピンが立てられたのは、中国 河南省 鄭州市付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
詐欺サイトは香港にあり では続いてメールに付けられたリンク先について。
そのリンクは「保持帐户」って書かれたところに張られていて、リンク先のURLとトレンドマイクロの
「サイトセーフティーセンター」での危険度評価がこちらです。 
おっと、まだ「未評価」のようです。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。 このURLで使われているドメインは、サブドメインを含め”email.a3ng98icx4gjfkty.asia”
今更ですが、このドメイン、私のサーバーには全く関連性がありません…(;^_^A
このドメインにまつわる情報を取得してみます。 
このドメインの持ち主さんは、中国の企業。
調べてみるとこの企業は、インターネット通販を主に行っているようです。 このドメインを割当てているIPアドレスは”23.224.233.87”
このIPアドレスを元にその割り当て地を確認してみます。 
こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
代表地点としてピンが立てられのは香港の TseungTseung Kwan O 付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。 
やっぱり中国語ばかりのページが開きました。
字が読めないのでログインしたくてもログインのしようがありません。(笑)
まとめ きっと中国人に関わらずどこかで拾ってきたメールアドレスリストに宛てて適当に送っているのでしょう。
こんなの日本人に送られてきてもどうすることもできません。 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 