【解析】カゴヤ「保留中の受信メールが6件あります」詐欺メールの正体

最近のスパム動向

今回ご紹介するのは「KAGOYA Active!mail」を騙るフィッシングメールです。最近のスパム傾向として、単に不安を煽るだけでなく「システムの未配信メール」や「クォータ制限」といった、実務上の不利益を想起させる口実が多用されています。特にGoogle Cloud等の信頼性の高いインフラを送信元として利用することで、従来のスパムフィルターを回避しようとする動きが加速しています。

メール本文の解析（忠実再現）

※以下の内容は、受信した詐欺メールを解析用に再現したものです。実際の詐欺メールとデザインが異なる場合もあります。

犯人の目的と技術的考察

【犯人の目的】
最大の目的は、偽のログイン画面を通じて「メールアカウントの認証情報（ID・パスワード）」を奪取することです。奪われたアカウントは、さらなる攻撃の踏み台や機密情報の窃取に悪用されます。

【専門的解説】
このメールには極めて不自然な点があります。本文中では「未配信メールが3件」と記載されているのに対し、件名では「6件」となっており、整合性が取れていません。これは複数のテンプレートを使い回す際に発生する犯人側の初歩的なミスです。また、リンク先にメールアドレス（#aaa@bbb.co.jp）が付加されており、ログインページを表示した際にあたかも正規のログイン状態であるかのように見せかける工作がなされています。

Received（送信元）回線解析レポート

※以下のデータは、メールヘッダーから抽出された「実際に送信に利用された」客観的証拠です。

【技術評価】
カッコ内のIPアドレス（34.83.76.232）は、改ざん不能な信頼できる送信者情報です。ホスト名に `bc.googleusercontent.com` が含まれていることから、犯人はGoogle Cloudのクラウド環境を悪用してメールを配信したことがわかります。カゴヤの正規ドメインとは一切無関係な環境からの送信であり、偽装メールであることが技術的に証明されています。

≫ 送信元IPのルート解析結果を閲覧

リンク先（詐欺サイト）の構造解析

誘導箇所： メールの本文内に直書きされたURLおよびリンクボタン
リンク先URL： hxxps://eco.ma****.pro/g/ （一部伏せ字、直リンク無効化済み）

【危険なポイント】
リンク先は現在も「稼働中」であり、ウイルスバスターやGoogleセーフブラウジング等のブロックをすり抜けて表示される場合があります。ドメイン登録日が極めて最近である理由は、通報による閉鎖を見越して「使い捨て」のドメインを用意したためです。

≫ リンク先の回線詳細・サイト情報を確認

詐欺サイト（フィッシングページ）の全容

【警告】以下の画像は実際の詐欺サイトです。絶対に入力しないでください。

本物のActive!mailのログイン画面を完全にコピーしています。URLを確認しない限り、視覚的に見分けることは不可能です。

まとめ：被害に遭わないために

今回の事例は、過去のカゴヤを騙るフィッシング事例と比較しても、クラウドインフラを悪用している点で検知が困難な部類に入ります。しかし、件名の「[spam]」表示や、送信元アドレスが自分自身になっている等の矛盾を見抜くことで被害は防げます。

公式サイトでも同様のなりすましメールへの強い注意喚起が行われています。