『詐欺メール』カゴヤジャパンから「重要: 保留中の受信メールが 5 件あります」と、来た件

カゴヤさんがビッグローブのメールアドレスで？！

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

1. ★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

添付ファイル付きの迷惑メール

最近この手のメールが日に何通か届きます。

「やあ」って、馴れ馴れしいじゃないの。
それにここはアメリカじゃないよ！(笑)

このメールは、うちの事務所の”admin”アカウント宛に届いたものですが、残念ながらうちの
メールアカウントに”admin”なんてアカウントは存在しません…(笑)
存在しないので迷子になってサーバーに残されていたものです。
このメール、差出人部分に “KAGOYA“と書いてあるので、どうやらレンタルサーバーの
「カゴヤ・ジャパン」さんからのようですが、何やら「Kagoya Security.htm」って添付ファイルが
あるようですね。

ではざっくりですがこのメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は「重要: 保留中の受信メールが 5 件あります」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
保留中のメールってことは、配信されずに受信サーバーに溜まっちゃってるってことでしょうか？
いやいや、そんなことはありません。
だって今、私がこの目でサーバー内を確かめてきたばかりです。

差出人は
「”KAGOYA” <y-watanabe@mrj.biglobe.ne.jp>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

あれ？確かに “KAGOYA“と書いてあるのですが何故だかメールアドレスはビッグローブの物
になっていますね。
レンタルサーバーを営むカゴヤ・ジャパンさんが、なぜわざわざ商売敵のビッグローブの
メールアドレスを使ってユーザーにメールを書くのでしょうか？
笑えて片腹痛いです(笑)

利用されたプロバイダーはKDDI

では、このメールのヘッダーソースにある”Received”を確認してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。

Received:「from dfmta0032.biglobe.ne.jp (snd00001-bg.im.kddi.ne.jp [27.86.113.1])」

”kddi.ne.jp”なんてKDDIのドメインまで出てきちゃいましたね。(;^_^A
”Received”これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”27.86.113.1”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元に送信に利用されたプロバイダーやIPアドレスの割り当て地を確認してみます。

やはり利用されたプロバイダーはKDDI。
このメールは、KDDIのサーバーを利用して配信されたようですね。

続いて割り当て地。
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、「栃木県小山市中央町」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

添付ファイルは何？

では引き続き本文。

やあ admin@***.***,

新しい重要なメールが 5 件あり、受信箱に配信する準備ができています。このメールに上記の添付ファイルをダウンロードし、指示に従って今すぐ重要なメールを公開してください。

心から、
KAGOYAセキュリティチーム

例えばサーバーがオーバーフローしていたとしても普通メールってサーバーに留まることなんて
ありませんよね？
この書き方だと、意図的にメールを止めているように感じます。
粗を探すつもりはありませんが「心から、」で切れていますが、心から何なんでしょうね？(笑)

やはり署名部分にも「KAGOYA Japan」と記載がありますから差出人はあくまでカゴヤ・ジャパンだと
言い張っています。

添付ファイルは「Kagoya Security.htm」
拡張子が”htm”なのでウェブファイルです。
一旦ダウンロードしてセキュリティーソフトにてスキャンしてみしたが特にウイルス等は
検出されませんでした

一抹の不安はありますが、意を決してこのファイルを開いてみました。
すると開いたのは、メールサーバーのコンパネの「ActiveMail」

なんか右上に”e”って文字が書いてありますが、これは何を意味するのでしょうか？(笑)

どうやらこのメールの差出人は、サーバーの乗っ取りが目的だったようですね。
このページでサーバー管理者をログインさせてそのアカウント情報を詐取し
詐取したアカウントを利用してサーバーを乗っ取り、そのサーバーを利用して詐欺メールの送信や
詐欺サイトの構築を行って悪事をはたらくつもりなのでしょうね。

まとめ

このようなメールは、”admin“だけじゃなく”info“や”support“などありがちなアカウント宛に
送られてきます。
このように「やあ」から始まるような怪しいメールに騙されるサーバー管理者は居ないと信じたいですが
違和感のない日本語を使ったものも多くあるので注意したいものです。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)