「保留中のメールを避けるために、現在は低くなっています」?? 誰だかわからない差出人から日本語が少しおかしなメールが届きました。 ![](/wp-content/uploads/2022/09/img_63184bad81c9f.png) ぼかしが入れてある部分は、うち事務所のドメインが記載されています。 句読点が滅茶苦茶で「保留中のメールを避けるために、現在は低くなっています」なんて意味不明な 日本語使われています。 では、このメールを解体し詳しく見ていきましょう! まずはプロパティーから見ていきましょう。 件名は 「[spam] admin@*****.*** メールボックス サービスが中断されました。今すぐ確認します。」 ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”Active! Mail” <info@shizengakuen.ed.jp>」 皆さんはご存じでしょうか? この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。 ですから、ここは信用できない部分です。 “Active! Mail“は、メールサーバーのコントロールパネルアプリケーションの事ですから あたかもメールサーバーアプリケーションが差出したように装っています。 もちろん”info@shizengakuen.ed.jp”なんてメールアドレスの知り合いは存在しません。 当然このメールアドレスは、偽装でしょけどね。 その辺りを含め、次の項で見ていくことにしましょう。 使われたメールサーバーは「Amazon AWS」 では、このメールがフィッシング詐欺メールであることを立証していきましょうか! まず、このメールのヘッダーソースを確認し調査してみます。 私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。 ソースから抜き出した「フィールド御三家」がこちらです。 先に書いた通り”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。 このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法 違反となり処罰の対象とされます。 ※特定電子メール法違反 ・個人の場合、1年以下の懲役または100万円以下の罰金 ・法人の場合、行為者を罰する では、ほぼ偽装は確定していますが、メールアドレスにあったドメイン”shizengakuen.ed.jp”に ついて調べてみます。 ![](/wp-content/uploads/2022/09/img_63192b620dcd5.png) このドメインは「学校法人自然学園」さんの持ち物です。 このサーバー乗っ取りをもくろむ詐欺メールの差出人メールアドレスは、いつも実在する企業や 病院、学校などのメールアドレスを偽装して利用することが多いような気がします。 そして”203.137.114.2”がこのドメインを割当てているIPアドレス。 本来同じでなけれならない”Received”のIPアドレスが”52.197.54.112”ですから全く異なります。 これでアドレス偽装は確定。 この方にはしっかり罪を償っていただかなければなりませんね! 「フィールド御三家」の中で一番重要なのは”Received” これを紐解けば差出人の素性が見えてきます。 ”Received”のIPアドレス”52.197.54.112”は、差出人が利用しているメールサーバーのもの。 まず、このIPアドレスを逆引きしてどのようなドメインが割当てられているか確認してみます。 ![](/wp-content/uploads/2022/09/img_63192c786afc7.png) やはりこのIPアドレスには”Received”に記載のあった”ap-northeast-1.compute.amazonaws.com”って ドメインが割当てられていました。 このドメインは、アマゾンのウェブサービス「Amazon AWS」のもの。 ということは、差出人はこのサービスを利用してこのメールを私の所に送信したようです。 では、このIPアドレスを元にその割り当て地を確認してみます。 ![](/wp-content/uploads/2022/09/img_63192db997e01.png) IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 ピンが立てられたのは、「東京都杉並区」付近です。 このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。 詐欺サイトはミュンヘンにあった では引き続き本文。 いくら丁寧な言葉を使おうが、句読点や違和感のある文章ではいただけません。 このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。 そのリンクは、本文に直書きされていて、リンク先のURLがこちらです。 ![](/wp-content/uploads/2022/09/img_63192e982e625.png) このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。 ![](/wp-content/uploads/2022/09/15a253cf5e8ea27cb93f79a9d3ffe7a9.png) このように既に危険サイトと認識されており、ブラックリストに登録済み。 そのカテゴリは「フィッシング」と書かれています。 このURLで使われているドメインは、”becausenails.com” このドメインにまつわる情報を取得してみます。 ![](/wp-content/uploads/2022/09/img_63192f2b82265.png) 登録者は、アメリカアリゾナ州にあるドメイン登録代行企業「DomainsByProxy」 このドメインの持ち主は、この企業にドメインの登録を依頼したようです。 このドメインを割当てているIPアドレスは”173.249.39.112” このIPアドレスを元にその割り当て地を確認してみます。 ![](/wp-content/uploads/2022/09/2f49cf8c81823adb0c7d1164b5aff227.png) ピンが立てられのは、ドイツのバイエルン州の州都「ミュンヘン」付近。 この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険と言われると見に行きたくなるのが人情と言うもの。 安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。 まずは警告を込めた真っ赤なページでChromeが接続をブロックしてきました。 ![](/wp-content/uploads/2022/09/img_6319302cd6732.png) 危険を承知で先に進んでみると、開いたのはエラーページ。 ![](/wp-content/uploads/2022/09/img_631930c5dc615.png) 詐欺サイトは、捜査の手が及ぶのを恐れ、えてして時々姿をくらまします。 こうすることで少しでも捜査の手から逃れようとしているのです。 先程ご覧いただいた通り、IPアドレスとドメインは紐づけされたままなのでサイトは簡単に 復活することが可能な状態です。 たぶん、正常に接続できれば、メールサーバーコントロールパネルの「Active! Mail」への ログイン画面が開いたはずです。 まとめ この差出人の目的は、サーバーへのログインアカウントの詐取を行った上で、Webサーバーを改ざんし 詐欺サイトの構築。 そしてメールサーバーも改ざん、メールアドレスを追加してそのメールアドレスを利用し詐欺メールを 送ることだと思います。 まったく悪い奴らです! 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの フィッシング詐欺サイトが作られ消滅していきます。 次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |