カゴヤ・ジャパンさんに成りすます
最近この手のメール多いんですよね。
レンタルサーバーを騙った詐欺メール。
今回は、大手レンタルサーバーの「カゴヤ・ジャパン」さんに成りすますものです。
届いたのは、うちの事務所の”info”アカウント宛。
内容は、メールサーバーがいっぱいで、メールの受信ができなくなるためアップグレードを
するように促しています。
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。
件名は
「必要なアクション: メールボックス (info@*****.***) がいっぱいです」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
”*****.***”部分には、うちの事務所のドメインが入っています。
差出人は
「Kagoya Support <endo@tax-help.jp>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
なぜ自社ドメインを保有する「カゴヤ・ジャパン」さんがこのようなでたらめなドメインを使った
メールアドレスでユーザーさんにメールを送るのでしょうか?
これは、ユーザーに対して信用問題に関わる大きな問題です。
それにしても”tax-help”なんて、税理士や会計事務所で使われそうなドメインですね。
会計事務所さんのメールアドレスにも成りすます
では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。
| Return-Path: 「endo@tax-help.jp」
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
|
| Message-ID:「GENERATED-WASMISSING-1owwGm-0023cZ-1z@v2005.coreserver.jp」
”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできませんが、”v2005.coreserver.jp”なんて
差出人のメールアドレスにあったドメインとは全く異なるドメインですね。
|
| Received:「from [20.218.179.173] (helo=morcsh-de)」
”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
|
メールアドレスの@より後半はドメインと呼ばれる部分で、ネットワーク上の機器に割り当てられる
インターネット上の住所であるIPアドレスを分かりやすくするために文字を割り振ったもの。
このドメインを調べることで、その持ち主の割出しや割当てているIPアドレスを調べることで、
その利用地なども調べることが可能です。
先に書いた通り”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する
では、メールアドレスにあったドメイン”tax-help”について調べてみます。
このドメインは、想像通り会計事務所さんの持ち物でした。
そして”52.198.153.39”がこのドメインを割当てているIPアドレス。
本来同じでなけれならない”Received”のIPアドレスが”20.218.179.173”ですから全く異なります。
これでアドレス偽装は確定。
どうやらこの差出人は「T&A三宅会計事務所」さんのメールアドレスをも騙ったようですね。
この差出人にはしっかり罪を償っていただかなければなりませんね!
「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”20.218.179.173”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。
カゴヤ・ジャパンさんがドイツからですか…
ピンが立てられたのは、「フランクフルト・アム・マイン」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
詐欺サイトは既に閉鎖
では引き続き本文。
| Kagoya Internet
info@*****.*** のメールボックスがいっぱいです
メールを受信できなくなります。各送信者はエラー メッセージを受け取ります。そのため、重要なメールを見逃す可能性があります。また、添付ファイル付きのメールはサイズが大きいため受信できない場合がありますのでご了承ください。
アクティブなメールへのアクセスを失うことがないように、ストレージをアップグレードしてください。
ストレージを更新する >> h**s://firebasestorage.googleapis.com/v0/b/kgyinternet.appspot.com/o/index.html?alt=media&token=e3689f26-f95c-438e-93db-cd30520e2a19#info@*****.***
Kagoya Internet Support |
このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に直書きされていて、リンク先のURLがこちらです。
このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。
このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。
このURLで使われているドメインは、サブドメインを含め”firebasestorage.googleapis.com”
”FirebaseStorage“は、Googleが提供するFirebaseの機能の一つです。
一般的に詐欺サイトは、自身でドメインを取得し詐欺サイトを構築しますが、すぐにブラックリストに
ドメインが登録されてしまいすぐに閉鎖に追い込まれてしまいますが、ここに構築すればGoogleの管理下
のためスパムフィルターは、Firebase URLを直接監視する可能性が低く長らくサイトの運営ができる訳です。
でも、「サイトセーフティーセンター」ではこのような評価がされているので、このサイトは既に閉鎖
している可能性は高いですね。
危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。
当然、ウィルスバスターにブロックさてたのですが、最終的に開いたのはこのページ。
コードがむき出しになっていますが、「permission denied」とあるので「権限がありません」と言うと。
エラーコードの”403”って数字も見えるのでやはり閲覧する権限が無いようで、閉鎖に追いやられた
ようですね。
まとめ
詐欺師も色々考えているようですね。
きっと、閉鎖されたリンク先は、レンタルサーバーのコントロールパネルを模した詐欺サイトで
ログインを装いサーバーへのログインアカウントの情報を詐取することが目的でしょう。
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |