『詐欺メール』「告知: 重要な機会のガイダンス」と、来た件

★フィッシング詐欺解体新書★

「重要な機会の初歩的説明をすること」？？

またなんだかおかしなメールが届きましたよ。
それもこんなにたくさん…(;^_^A

うちの事務所のメールサーバーは、アカウント名(@より前)が間違っていても迷子メールとして
サーバーに残るようになっています。
ぼかしの入れてある部分には、うちの事務所のドメインが書かれています。
送信先のアドレスは、ドメインのみうちのものになっているものの@前のアカウント名は
うちのサーバー内には存在しないもので以下のようなものになっています。
”accounting@***.***” “information@***.***” “admin@***.***” “sales@***.***” “reception@***.***”
“marketing@***.***” “shop***.***” “support***.***” “postmaster***.***” “recruit***.***”
“finance***.***”

そのためこれらのメールは、迷子メールとしてサーバーに残されていたものです。
そして不思議なことに送信者のメールアドレスも送信先のアドレスと同じアドレスになっていますので
送信者と受信者が全く同じってことになります。

これらのメールのタイムスタンプを確認すると、送信日時は昨夜の19時36分から23時52分までに
集中しています。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「***** 告知: 重要な機会のガイダンス」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
「*****」には、うちの事務所のドメインが記載されていました。
「重要な機会のガイダンス」って意味わかります？
「ガイダンス」とは、「初歩的な ; 説明をすること」
あてはめて読んでみても「重要な機会の初歩的説明をすること」と、さっぱり…(;^_^A

差出人は、先に書いたように宛先と同じものとなっていますからある意味偽装ですね。
では、この中から1通に注目して次の項でもう少し深堀して詳しく見ていきましょう。

東京都杉並区和泉２丁目付近に何があるの？

では、これらのメールがフィッシング詐欺メールであることを立証していきましょうか！
これがそのメールで、どれも同じ内容が書かれていました。

ぼかしてある部分にはどこもうちのドメインが記載されています。

まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。
(以下”*****.***”にはうちのドメインが記載されています。)

この中で差出人の手掛かりになるのは”Received”にあったIPアドレス”52.253.104.46”のみ。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられたのは、詐欺メールの調査でがよく見かける東京都杉並区和泉２丁目付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

「カゴヤ・ジャパン」さんを騙る

では引き続き本文。

「政府はあなたがもっと啓発されることを望んでいます」と書かれているので差し出したのは
政府の機関なのでしょうか？
でもこのURLをよく見ると”kagoya”の文字が。。。
あれ？政府機関じゃなくて大手レンタルサーバーの「カゴヤ・ジャパン」さんを騙っているのでしょうか？

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンク先サイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で
確認してみます。

えっ、まさかの安全宣言？
これは見逃すことは到底できません。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。

このURLで使われているドメインは、サブドメインを含め”kagoya20230127srv.azurefd.net”
このドメインにまつわる情報を取得してみます。

申請者は「Microsoft Corporation」と書かれています。…kagoyaなのに…(;^_^A

このドメインを割当てているIPアドレスは”13.107.237.46”
このIPアドレスを元にその割り当て地と回線情報を確認してみます。

プロバイダー名は、やはり「Microsoft Corporation」と記載されていますから
サイトはマイクロソフトのサーバーが利用されているようです。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。

ピンが立てられのは、カナダのモントリオールにある「モントリオール現在美術館」付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

トレンドマイクロの「サイトセーフティーセンター」での評価からすると、どこからも
ブロックされることなく無防備に放置されているであろうリンク先の詐欺サイトへ
安全な方法で訪れてみました。

開いたのは「Active!mail」と書かれたログインページ。
「カゴヤ・ジャパン」のロゴと著作権表示もも記載されていますね。
「ActiveMail」は、サーバーに備わったウェブ上でメールの受送信ができるウェブメーラー。
カゴヤさんの場合、「ActiveMail」のアカウントはウェブサーバーのアカウントと同じもの。
きっとこの犯人は、そのアカウント情報を詐取しサーバーを乗っ取るのが目的で、そのサーバーを利用し
悪意の持ったメールを配信したり、このような詐欺サイトの運営に利用しようとしているのでしょう。
ほんと悪い奴らです！

まとめ

これらのメールは、宛先からすると企業の窓口に宛てたもので、ウェブの管理者に届けようと
しているのでしょうね。
「政府」の名を使えば受信者が不安になってリンクに行くとでも思っているのでしょうか？
実にバカバカしいメールです。

でも恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;