サイトアイコン HEARTLAND

『詐欺メール』「急! メールボックスがいっぱいです」と、来た件

件名に「!」の付いているメールにご用心
※ご注意ください!
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

溢れてもレンタルサーバー側から連絡は来ません

レンタルサーバーやプロバイダーを営む大手企業「カゴヤジャパン」さんらしき差出人から
このようなメールが届きました。
もちろん詐欺メールなのですが、このメール突っ込みどころが満載。(笑)

カゴヤジャパンを名乗っているにも関わらず、メールアドレスが商売敵であるビッグローブとは。(;^_^A
そして本文の内容と言えば、メールサーバーの容量制限で8通のメールが返ってきたと書いてありますが
まず「フルメールボックス」って表現がなんともチープで、サーバーが満杯だと表現したかったんでしょね。
それに、一般的に考えればメールサーバーの容量不足の時は、”Returned Mail”として差出人に返信される
もので、わざわざレンタルサーバー側からの連絡は来ません!
そしてメールボックスを増量するためのリンクの文字が「無料メールボックス」って、おかしいですよね。(笑)

では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。

件名は
「急! メールボックスがいっぱいです」
いつも書くように、経験上件名にビックリマークがあるものでログなメールはありません。
それに何ですか「急!」って…そんなに煽ってどうするの?(笑)

差出人は
「”KAGOYA” <jyt24@kyf.biglobe.ne.jp>」
もう何も言いますまい…(笑)


差出人の利用回線はKDDI

では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「jyt24@kyf.biglobe.ne.jp」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「20230222003621.7D43A278A81EB4F1@kyf.biglobe.ne.jp」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from omta0003.biglobe.ne.jp (snd00106-bg.im.kddi.ne.jp [222.227.84.38])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

まあ”jyt24@kyf.biglobe.ne.jp”なんてメールアドレスも恐らく大嘘でしょうね。

先に書いた通り”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”kyf.biglobe.ne.jp”について調べてみます。

当然ちゃんと「BIGLOBEサービスさんの持ち物です。
そして”175.135.252.129”がこのドメインを割当てているIPアドレス。
本来同じでなけれならない”Received”のIPアドレスが”222.227.84.38”ですから全く異なります。
これでアドレス偽装は確定。
この方にはしっかり罪を償っていただかなければなりませんね!

因みにこのIPアドレス、調べてみたらKDDIの回線で使われているようです。

「フィールド御三家」の中で一番重要なのは”Received
これを紐解けば差出人の素性が見えてきます。
Received”のIPアドレス”222.227.84.38”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、「栃木県小山市中央町」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。


リンク先はエラーページだった

では引き続き本文。

お客様各位 admin@*****.***
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
いつもKAGOYA JAPANをご利用いただき、誠にありがとうございます。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━フルメールボックスのメモリ容量がほぼいっぱいのため、8通の受信メールが返ってきました。メールボックスの容量を増やすには、

以下のリンクをクリックしてプロセスを完了します

無料メールボックス

今後ともKAGOYAをよろしくお願いいたします。

_________________________________________________________________________________________
カゴヤジャパンは、個人情報保護に関するJIS規格に準拠しています。
(JIS Q 15001)準拠のシステム。
お客様の個人情報の保護に万全を期しております。

このメールは、専用のメールアドレスから送信されます。
____________________________________________________________________
© 2023 かごや.

なぜか著作権表示部分だけひらがなで「かごや」と記載されています…(笑)

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「無料メールボックス」って書かれたところに張られていて、リンク先の
URLとトレンドマイクロの「サイトセーフティーセンター」での危険度評価がこちらです。

あらら、まだ評価されていないようです。
これは見逃すことは到底できません。
評価を変更していただけるよう早速申請しておきます。

このURLで使われているドメインは、”www.vessygekova.com
このドメインを割当てているIPアドレスを取得してみます。

このドメインを割当てているIPアドレスは”164.138.218.107
このIPアドレスを元にその割り当て地を確認してみます。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。

ピンが立てられた代表地点は、ブルガリアのソフィア付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

トレンドマイクロの「サイトセーフティーセンター」での危険度評価からすると、どこからもブロック
されることなく無防備に放置されている
リンク先の詐欺サイトへ安全な方法で訪れてみました。

英語がからっきしで何書いてあるのかわからないのでタグごと一緒に翻訳してみました。

の XML ファイルには、スタイル情報が関連付けられていないようです。ドキュメントツリーを以下に示します。
<エラー>
<Code>AccountIsDisabled</Code>
<メッセージ>指定されたアカウントは無効です。 RequestId:33fd56e7-801e-0068-3d5a-46d817000000 Time:2023-02-22T01:08:50.0819393Z</Message>
</エラー>

なんだかエラーが発生しているようです。

これは詐欺犯が意図的に出しているエラーなのか、それとも技術的なものなのか私に知る由はありません。


まとめ

カゴヤジャパンさんを騙る詐欺メールは、頻繁に届きますが、たいていの場合日本語が
うまく使えてなかったり、今回のように本文の内容が滑稽だったりしますからすぐにそれとわかります。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了