『詐欺メール』Kagoya Portalから「メール配信エラー」と、来た件

「カゴヤジャパン」さんの詐欺メールは、一時に集中し配信される

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

1. 大手レンタルサーバーの「カゴヤジャパン」を騙る
2. もちろんアドレス偽装
3. Microsoftのウェブサービスユーザーのウェブサイト
4. まとめ

大手レンタルサーバーの「カゴヤジャパン」を騙る

えらくあっさりした詐欺メールが大手レンタルサーバーの「カゴヤジャパン」さん名義で届きました。
そのメールがこちら。

このメールを受け取ったのは、仕事用のアドレス。
うちの事務所が「カゴヤジャパン」のユーザーだと知ってて送ってきたのでしょうか？
(このブログは別のサーバーです)

本文たった4行…
めちゃめちゃシンプル。(^-^;
メール送信エラーって事でしょうか？

では、このメールもプロパティーから見ていきましょう。

件名は
「メール配信エラー」
件名にいつもの”[spam]”ってスタンプが付けられていませんが明らかに迷惑メールの類です。
時々さぼるんですよね、うちのサーバーのスパムフィルター…
”[spam]”ってスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「Kagoya Portal <support@giftland-japan.com>」
「カゴヤジャパン」さんには、”kagoya.net”や”kagoya.com”などの正規ドメインをお持ちです。
それなのにこのような”giftland-japan.com”なんて全く関連性の無いドメインを使った
メールアドレスで大切なユーザーにメールを送るなんて絶対にあり得ません！

もちろんアドレス偽装

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「support@giftland-japan.com」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「3102202205552304644A6296-3BB4C0200B@giftland-japan.com」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from Deafault (unknown [20.237.148.51])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

まずは、”giftland-japan.com”について情報を取得してみます。
このドメインを割当てているIPアドレスが”Received”に記載されているものと同じなら
差出人のメールアドレスだと認めますが、そうでない場合、特定電子メール法違反となり
処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰するほか、法人に対して3000万円以下の罰金
さて、どう出るのでしょうか？

”133.18.64.254”がこのドメインを割当てているIPアドレス。
本来同じでなけれならない”Received”のIPアドレスが”20.237.148.51”ですから全く異なります。
これでアドレス偽装は確定。
この方にはしっかり罪を償っていただかなければなりませんね！

この中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”20.237.148.51”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられたのは、カリフォルニア州にあるサンノゼ付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

Microsoftのウェブサービスユーザーのウェブサイト

では引き続き本文。
ってか、4行しかない…

以下で今すぐ修正

h**ps://kagoyanejp.azurefd.net#(直リング防止で一部文字を変更しています)

Thank you
Kagoya-JAPAN

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは、直書きされていて、リンク先のURLがこちらです。

ま、確かに”kagoya”って文字も見えますが、このURLで使われているドメインもカゴヤジャパンさんの
もとは全く異なります。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

このように既に危険サイトと認識されており、カテゴリは「フィッシング」と書かれています。

このURLで使われているドメインは、サブドメインを含め”kagoyanejp.azurefd.net”
このドメインにまつわる情報を取得してみます。

詳しくは分かりませんが、「Registrant Organization: Microsoft Corporation」とされているので
このドメイン申請は、Microsoft経由で行われたようです。

このドメインを割当てているIPアドレスは”13.107.246.46”
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられのは、シカゴの「シカゴ美術館」付近。
利用されているプロバイダーは、これまた「Microsoft Corporation」と記載されていますので
リンク先のウェブサイトはMicrosoft社のウェブサービスユーザーってことになります。

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

いつものように、メールサーバーコンパネの「ActiveMail」の偽サイトが開くと思えば
それとはまた別のログイン画面。
何かに模してあるのでしょうか？
ウイルスバスターにしつこくブロックされたので、でたらめログインは危険すぎるのでやめておきます。

まとめ

目的は、サーバーの乗っ取りでしょうね。
乗っ取ったサーバーを使い、そこからフィッシング詐欺メールを配信したり詐欺サイトを構築したりし
サイバー犯罪の温床とされることでしょう。
このブログを書いている最中にも「カゴヤジャパン」さん名義で「メールボックスがいっぱいです」と
件名に書かれたこのような詐欺メールが複数届いています。