【実録】「隔離中に保管されている重要書類」KAGOYAを騙る詐欺メールを徹底分析！

皆様、こんにちは。
頼れる街のIT専門家が、最新のサイバー脅威について丁寧にわかりやすく解説いたします。

現在、レンタルサーバー事業者である「KAGOYA（カゴヤ・ジャパン）」の利用者層を狙った、極めて巧妙なフィッシング詐欺メール（本物そっくりに作られた偽のメール）が急増しております。

今回ご紹介するのは「KAGOYA」を騙るメールですが、関連記事もページ末尾に記載のデータベースアーカイブからご覧いただけます。

このようなメールは、受信した段階で開いただけでは実質的な被害（金銭的な被害や即座の情報漏洩）はございません。
しかし、画像付きのメール（HTMLメール）であったり、開通通知（メールが読まれたことを送信元へ自動で知らせる仕組み）が仕込まれていたりする場合、お使いのメールアドレスが「現在もアクティブに使用されているアドレス」であると犯人側に検知されてしまう可能性がございます。
そうなりますと、いわゆる「アドレスの生体通知（生きているアドレスであることの証明）」が行われた形となり、今後さらに多くの詐欺メール送信リスト（ターゲット名簿）に登録されてしまう危険性が高まりますので、十分に注意が必要です。

不審なメールに潜む罠を正しく理解し、大切な情報を守るための知識を身につけていきましょう。
手抜きなしで長尺の解説を行いますので、ぜひ最後までじっくりとお読みください。

【ここに不審な受信メールの全体スクリーンショット画像を挿入してください】

［メール本文スクリーンショット］

【スクショを見た印象と感想】
メールのヘッダー部分（上部）には、公式の「KAGOYA JAPAN」というロゴマークが極めて精巧に配置されております。
「受信メールが一時的に隔離されています」という大文字の見出しを掲げ、システムのシステム自動送信メッセージを模したグレーの帯を最下部に配置するなど、一見するとサーバー管理システムからの公式な通知であるかのように錯覚させるデザインとなっています。
文字のフォントやレイアウトのバランスも違和感なく整えられており、視覚的な騙しの技術としては非常に高い水準にあるという感想を抱かざるを得ません。

※以下は、受信した詐欺メールの本文テキストを、デザインを含めて可能な限り正確に再現したものです。

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。
被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

このメールの送信者情報（Fromヘッダー）を確認しますと、送信者名には「ITヘルプデスク」といった組織らしい名称が使われておりますが、設定されているメールアドレスのドメイン（＠より後ろの部分）は、カゴヤの公式ドメイン（kagoya.jp等）ではなく、受信者側の企業独自ドメインに書き換えられておりました。

このように、自社のアドレスから自社宛てに送られたように見せかける手法は、一般的なセキュリティフィルターをすり抜けるための古典的な偽装工作です。
この送信元ドメインの本来のIPアドレス（インターネット上の住所）を調査いたします。

※本解析における受信者側の環境保護のため、ドメイン内の特定文字列は伏字（*）として処理しております。

メールの送信経路を証明する「メールヘッダー」の解析を行います。
なお、メールヘッダーの詳細なスクリーンショットには、受信者様の利用されている固有のサーバー内部構成や個人を特定し得るセッション情報が含まれるため、セキュリティ確保の観点から画像の掲載は控えさせていただきます。

データから抽出した「Received-SPF（送信ドメイン認証の結果）」および、時系列上で最も古い「Received（一番最初の発信元サーバーの記録）」は以下の通りです。

【抽出データ】

• Received-SPF: データの確認ができない、または認証エラー（不整合状態）
• 最古のReceived: from [10.88.0.4] (143.46.178.34.bc.googleusercontent.com [34.178.46.143]) by *****04.******.net …

この技術的な解析結果から判明することは、このメールはカゴヤ・ジャパンの正規のシステムから送信されたものではなく、Google Cloud（グーグルが提供するクラウドサーバー環境）のインフラを悪用して、外部から不正に射出されたものであるということです。

つまり、送信者の名前やアドレスがどのように公式っぽく装われていても、中身は完全に第三者による成りすましメールであるということです。

【メアドIPとReceivedのIP比較・偽装判定】

メール本文に配置されている「ストレージを整理する」および「サポートに連絡」という文字リンクに設定されたURLの正体を暴きます。

【実際に埋め込まれていた誘導先URL】
h**ps://katodesigns.com/admn/k/kagoy/（※安全のため一部を伏字にし、リンクの無効化処理を行っております）

【偽サイトのスクリーンショット】

【ここに誘導先フィッシングサイトのスクリーンショット画像を挿入してください】

【リンク先サイト稼働状況およびインフラ解析】

【URLが危険と判断できるポイント】
カゴヤ・ジャパンが提供する正規のコントロールパネルやサポート窓口のドメインは「kagoya.jp」あるいは「kagoya.net」のいずれかです。
今回使用されているドメインは「katodesigns.com」であり、公式とは何の関係もない全く無関係な海外のホスティングサーバー（ホームページ公開用のサーバー）を足場として利用しています。
ここにアカウント名やパスワードを入力すると、その瞬間に情報が犯人側に転送され、メールアカウントの乗っ取りや、企業内部情報の漏洩、最悪の場合は自社のメールサーバーが新たなスパムメールの送信踏み台にされてしまう事態に発展いたします。

このようなメールを受信した際の具体的な対処手順をまとめます。

• メール内に記載されているボタンやリンクは、絶対にクリックしないでください。
• 万が一、リンクを開いてしまった場合でも、表示された入力欄にメールアドレスやパスワード等の認証情報を絶対に入力しないでください。
• 安全確認を行う場合は、メールのリンクからではなく、普段から利用している公式のブックマーク（お気に入り登録）や、公式検索サイトから正規のトップページへアクセスし、コントロールパネル等の状況を確認してください。

もし既にパスワード等を入力してしまった場合は、二次被害を最小限に抑えるため、即座に公式のコントロールパネルへアクセスしてメールパスワードの変更処理を行ってください。

カゴヤ・ジャパンの公式サイトにおいても、同社を騙る不審なメールに関する注意喚起情報が継続的に発信されております。ご不安な場合は以下の公式案内を必ずご一読ください。

■ カゴヤ・ジャパン 公式注意喚起URL：
https://www.kagoya.jp/important/antiphishing/

今回は、KAGOYAを騙ってメールボックスの容量上限や隔離を通知してくる、極めて巧妙なフィッシングメールの手口を解析いたしました。

こうした手口は、私たちの「業務が止まってしまうかもしれない」という心理的な焦りを突いてくるため、注意していても騙されてしまう方が後を絶ちません。
少しでも不自然さを感じたら、まずは一度手を止め、URLのドメイン部分を確認する冷静さを持つことが肝要です。

身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。

街のIT専門家として、皆様が安全なデジタルライフを送れるよう今後も最新の情報をお届けしてまいります。
不審なメールに遭遇した際は、いつでもお気軽にご相談ください。

関連する過去の解析事例はこちらから検索できます。