今度は「さくらインターネット」に成りすます 先日、サーバー乗っ取り目的のこのようなメールを受け取りました。 『詐欺メール』Xserverから「アカウント情報を確認してください !」と、来た件
この時は、レンタルサーバーの「Xserver」さんに成りすましたメールでしたが、今回は全く同じ内容で
「さくらインターネット」の名を借りた詐欺メールが届きましたのでご紹介しようと思います。
そのメールがこちらです。
セキュリティー上とは書いて有るものの詳しい理由も無くアカウントが勝手に無効になれた旨が
書かれており、解除するためにリンクに接続するように促していますが、これ「Xserver」の時と
本文は全く同じ内容。 では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は
「アカウントを更新する !」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
ほんと件名に「!」が付いたメールにロクなメールはありませんね。 差出人は
「SAKURA internet <sakurainterntinc@qbs1081.com>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 「さくらインターネット」さんには、”sakura.ad.jp”って正規ドメインをお持ちです。
大手レンタルサーバーさんが正規ドメインが有るのにそれ以外のこのようなでたらめな
ドメインを使ったメールアドレスでユーザーさんにメールを送るなんて信用問題に
関わる大きな問題です。
「JR神田駅」は詐欺メールサーバーの巣窟 では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「sakurainterntinc@qbs1081.com」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「eb142e112118fa85f006e09bdb939d59@qbs1081.com」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from sv8288.xserver.jp (sv8288.xserver.jp [183.181.89.129])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
”sv8288.xserver.jp”とありますが、もしかしてこの方「Xserver」さんの
ユーザーだったりして…(;^_^A | では、メールアドレスにあったドメイン”qbs1081.com”について調べてみます。
 あはは…「Registrant Name: Xserver Xserver Inc.」って事は、この方はやはり「Xserver」ユーザー。
先日の「Xserver」の成りすましは、逆に「さくらインターネット」ユーザーだったのでこの方は
両方のレンタルサーバーと契約しているのでしょうか? そして”183.181.89.129”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと全く同じすからメールアドレスの偽装は行われていませんでした。 「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス””は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 ピンが立てられたのは、「JR神田駅」付近で、言わばここは詐欺メールサーバーの巣窟です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
詐欺サイトはコペンハーゲンにあり! では引き続き本文。 | お客様各位, セキュリティ上の理由から、あなたのアカウントを一時的に無効にしました. SAKURA internet アカウントがブロックされるリスクを避けるために、アカウントを参照して情報を確認することをお勧めします. 以下のリンクに従ってプロセスを完了し、アカウントのステータスを調整してください: ログイン —
平素は弊社サービスをご利用いただき、誠にありがとうございます。
サポート SAKURA internet | 先日のメールで「Xserver」部分を「SAKURA internet」に置き換えただけの本文です。
このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「ログイン」って書かれたところに張られていて、リンク先のURLがこちらです。
 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。
おっと、まだ「未評価」のようです。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。 このURLで使われているドメインは、サブドメインを含め”happywind.se”
”.se”は、スウェーデンに与えられた国別コードトップレベルドメインですね。
ではリンク先はスウェーデンに何らかの関係があるのでしょうか?
このドメインにまつわる情報を取得してみます。
ここでは、デンマークとも書かれていますね。
このドメインを割当てているIPアドレスは”46.30.215.110”
このIPアドレスを元にもう少し詳しい位置情報を取得してみます。
ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーに程近い場所。
フィッシング詐欺サイトは、この付近に密集しています! ピンが立てられのは、デンマークの首都「コペンハーゲン」付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 無防備に放置されているであろう詐欺サイトへ安全な方法で訪れてみました。 開いたのは、「さくらインターネット 会員認証」と書かれているログインページ。
もちろん偽サイトですから絶対にログインしないでください!
まとめ ここにログインアカウント情報を入力してしまうと、その情報が犯人側に詐取されてサーバーが
乗っ取られます。
乗っ取られたサーバーは、詐欺の温床となり、詐欺サイトが構築されたり詐欺メールが発信されたりと
大変な被害を被ることになりますのでご注意ください。 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 