【警告】重要:サイバー攻撃検知のお知らせ(KAGOYA偽装)の詐欺メールを解析!公式を騙る巧妙な罠

いつも「Heartland-Lab」をご覧いただきありがとうございます。管理人、セキュリティアナリストのHeartlandです。
今回は、サーバーインフラやレンタルサーバー事業を展開する老舗プロバイダー「カゴヤ・ジャパン」の利用者をターゲットにした、非常に極悪かつ巧妙なフィッシング詐欺メールが確認されましたので、緊急で詳細な技術解析レポートを公開します。
件名は「重要:サイバー攻撃検知のお知らせ」という、受信者の不安を過度に煽り、冷静な判断力を奪おうとする高度な心理戦(ソーシャルエンジニアリング)を仕掛けてくるものです。不審な点を見破るためのポイントと裏側の仕組みを、長編で徹底的にわかりやすく解説していきます。
1. 実際に届いた「カゴヤ偽装」詐欺メールの全貌
まずは、実際にターゲットの元に送り付けられたフィッシングメールの画面を確認しましょう。公式のセキュリティアラートを完全に模倣しており、一見すると詐欺であることを見抜くのが非常に困難な仕上がりになっています。
※実際に届いた「重要:サイバー攻撃検知のお知らせ」のメール画面です。
以下は、今回確認された詐欺メールの本文テキスを正確に再現したものです。罠のリンクがあちこちに張り巡らされているため、細心の注意を払って構造をチェックしてください。
【件名】重要:サイバー攻撃検知のお知らせ
いつも弊社サービスをご利用いただき、誠にありがとうございます。
当社のセキュリティシステムが、お客様のアカウントに対する異常なアクセスおよび潜在的なサイバー攻撃を検知いたしました。
不審なアクティビティが確認されたため、安全確保の観点から一部の機能を一時的に制限しております。
アカウントの不正利用を防止し、正常な状態に復帰させるためには、24時間以内に下記URLよりアクセスし、アカウントの本人確認およびセキュリティ設定の更新を完了させてください。
⇒ 安全なログイン・本人確認はこちら
hxxps://su-activemail-kagoya-jp[.]com/kmail/login.html?__cf_chl_f_tk=...
期限内に確認が取れない場合、お客様のデータ保護のため、アカウントを完全に停止させていただく場合がございますので、予めご了承ください。
カゴヤ・ジャパン株式会社 サポートセンター
なお、今回の解析にあたり、受信サーバーの特定や詳細なルーティングを調査いたしましたが、読者の皆様の機密情報・プライバシーを守るため、生ログの掲載は控えさせていただきます。
※メールヘッダー詳細は個人情報保護のため非掲載
2. 送信元IPアドレス(133.18.39.59)の驚くべき正体
このフィッシング詐欺メールが「どこから送られてきたのか」、ヘッダー内に記録された送信元IPアドレスを徹底追跡しました。割り出されたIPアドレスは 133.18.39.59 です。
このIPアドレスのホスト名(PTRレコード)や割り当て組織をルックアップしたところ、極めて衝撃的な事実が判明しました。
- 送信元IPアドレス: 133.18.39.59
- ホスト名(逆引き): mss738.kagoya.net
- プロバイダー(ISP): KAGOYA JAPAN Inc. (日本・京都府京都市)
- SPFレコード判定: PASS
なんと、送信元はカゴヤ・ジャパン自身の正規メール送信サーバーインフラをそのまま経由しています。これが意味するのは、**「攻撃者がカゴヤを契約している別ユーザーの正規アカウントに不正侵入し、そのアカウントを踏み台にして一斉配信を行った」**か、あるいは**「インフラの一部が不正に悪用された」**可能性が極めて高いということです。
正規のサーバーから送信されているため、当然ながらなりすましメール対策である「SPF(Sender Policy Framework)」などの認証を完全にクリア(PASS)してしまいます。一般的なセキュリティフィルターが「本物のカゴヤからのメール」と誤認してすり抜けてしまうのは、この足場作りの巧妙さにあります。
※送信元IP(133.18.39.59)のip-sc.netによるロケーション分析画面です。
3. 悪意に満ちた誘導先(フィッシングサイト)のドメイン・IP解析
メール本文に設置されたリンクをクリックした際、どこへ連れて行かれるのか、誘導先URLのドメイン構造およびDNS情報を徹底的に引き剥がして解析しました。
危険な罠:公式に酷似させた使い捨てドメイン
リンク先のドメインは、su-activemail-kagoya-jp[.]com です。カゴヤが提供するWebメールサービス「Active! mail(アクティブメール)」の文字列と「kagoya-jp」を意図的に組み合わせ、利用者を「公式のシステムメンテナンスページだろう」と誤認させるために取得された、絵に描いたようなフィッシング用使い捨てドメインです。
この偽ドメインの名前解決(DNSルックアップ)を実施し、実際にフィッシングサイトが稼働している背後のサーバーインフラを割り出しました。
| 調査対象項目 | 解析データ / 判定結果 |
|---|---|
| 偽装ドメイン | su-activemail-kagoya-jp[.]com |
| 実稼働IPアドレス | 104.21.31.226 / 172.67.180.138 |
| ホスティング組織 | Cloudflare, Inc. (クラウドフレア・防壁サービス) |
| 実際のサーバー位置 | アメリカ合衆国・カリフォルニア州サンフランシスコ(プロキシ経由) |
| セキュリティ検知状況 | 【危険】トレンドマイクロ等によりフィッシング認定・ブロック済 |
このフィッシングサイトは、世界最大手のCDN・プロキシサービスである「Cloudflare」の裏側に本当のサーバー(実体)を隠蔽する工作を行っています。これにより、警察やセキュリティ機関からの追跡の手を巧みに逃れようとしています。
幸いなことに、すでにトレンドマイクロをはじめとする主要なセキュリティベンダーによるブラックリストへの登録が進んでおり、安全対策が施されたブラウザやセキュリティソフトを導入している環境では、アクセスした瞬間に強烈なブロック警告画面が表示されるようになっています。
※セキュリティソフト(ウイルスバスター等)によるブロック警告画面の例です。
4. 本物そっくりの偽「Active! mail」ログイン画面に騙されるな
万が一、警告を無視して、またはセキュリティが効いていない無防備な環境でリンクを開いてしまった場合、どのような画面が待ち受けているのかを明かします。
恐怖の罠:IDとパスワードを全自動で奪うクローン画面
表示されるのは、カゴヤ・ジャパンが正規に提供しているビジネス用Webメール「Active! mail」のログインページを完璧にコピーしたクローン(偽)画面です。
※スマートフォンやPCから開くと表示される、本物そっくりの「Active! mail」偽ログイン画面です。
ロゴマークや入力欄のレイアウト、配置されている注意書きテキストに至るまで、本物のソースコードをそのままダウンロードして流用しているため、視覚的に偽物だと気づくのは100%不可能です。
ここで、攻撃者が仕込んだ「お粗末なミス」を一つ暴いてやりましょう。このログイン画面のURLパラメータの末尾を見ると、ターゲットのメールアドレス(`#*****@*******.***`)がそのまま丸見えの状態で自動入力される仕掛けになっています。
少しでもシステムを理解している人なら、「ログイン画面のURLに、自分の生のアドレスがそのまま暗号化もされずにぶら下がっているなんて、公式のセキュリティ設計としてあり得ない」と一発で看破できます。サイバー攻撃を検知したと偉そうに言っておきながら、自分たちのURL設計が最もセキュリティ的にガバガバという、間抜け極まりない滑稽な設計ミスを晒しています。
しかし、知識のない一般の利用者がこの画面で「ユーザーID(メールアドレス)」と「パスワード」を入力してログインボタンを押してしまった場合、情報はカゴヤのサーバーではなく、アメリカのCloudflareの裏に潜む攻撃者のデータベースへダイレクトに送信され、瞬時にアカウントを乗っ取られます。
5. アカウントを守り抜くための絶対防衛3か条
このような、プロバイダーの正規送信インフラを踏み台にしてセキュリティをすり抜けてくる極悪なメールから身を守るためには、従来の「迷惑メールフィルター」だけに頼る防衛には限界があります。以下の3か条を徹底してください。
防衛の要:メール内のリンクは絶対に信用しない
- リンクを踏む前にブラウザの「アドレスバー」を死ぬ気で確認する
画面がどれだけ公式のActive! mailに似ていても、アドレスバーのドメインが「su-activemail-kagoya-jp[.]com」などの見知らぬ文字列であれば、それは100%偽物です。公式のドメイン(例:kagoya.jp等)以外では絶対にログイン情報を入力しないでください。 - メールのリンクではなく、事前に登録した「ブックマーク」からアクセスする
「サイバー攻撃を検知した」「アカウントを停止する」といった警告メールを受け取ったら、メール内のボタンやリンクは絶対にクリックせず、普段自分がコントロールパネルやメールパネルを開く際に使用している、正規のブックマーク(お気に入り)からログインして状況を確認する癖をつけてください。 - 二要素認証(ワンタイムパスワード)などのセキュリティ強化を設定する
万が一、巧妙な罠に騙されてパスワードを相手に盗み取られてしまったとしても、アカウント側に二要素認証(OTP)が設定されていれば、攻撃者はそれ以上の侵入を果たすことができません。利用可能なセキュリティオプションは今すぐ最大レベルまで引き上げておきましょう。
サイバー犯罪者は、私たちの「焦り」や「恐怖」といった感情の隙を狙って牙を剥いてきます。「サイバー攻撃を検知した」という警告そのものが、実はサイバー攻撃であるという、この手の込んだフィッシング詐欺に騙されないよう、一人一人がリテラシーを高めていきましょう。
万が一、パスワードを入力してしまったかもしれないと心当たりのある方は、大至急公式のコントロールパネルに(正規ルートから)ログインし、パスワードの変更手続きを行ってください。
皆様のビジネスインフラと大切な機密情報を守るため、この記事が少しでもお役に立てれば幸いです。
この記事が役に立ったら、SNSでシェアして身近な仲間や同業者に注意喚起をお願いします!














