『詐欺メール』さくらインターネットから『会員メニューログインに関するご確認』と、来た件

もしかして『さくらインターネット』を騙ってる？

今朝、メールを受信すると『さくらインターネット』からこのようなメールが届いていました。

うちの事務所、現在は別のホスティングさーりすを利用していますが、以前このさくらインターネット
ウェブやメールのサーバーをレンタルしていた経緯があり、アカウントが残っている状態。
いつものように詐欺まがいのメールで、さくらインターネットから連らると受けているサーバーを
乗っ取ろうと企む悪い輩からのメールじゃないかと、ヘッダーソースにある”Received”を確認し
調査してみましたが、発信元はちゃんとさくらインターネットであることが確認できたので
このメールは、本物のさくらインターネットが送信したものです。

折角だから足取りをたどる

本文にはこのように記載があります。

(直リンク防止のためULRの文字を一部変更しています)

もう、5年以上前に解約しレンタル料金も払っておらず当然全く利用していないので
このログインに心当たりはありません。

これは恐らくサーバーの乗っ取りなど企て悪意を持って攻撃を仕掛けたもの。
一応、ログインして悪さされていないかどうか確認してみましたが、以前のアカウントが
ゴーストで残っているだけなので実害は全くありませんでした。

折角メールにアクセス元の情報が載っているのでこのIPアドレスを元に、少し調べてみることに。
まずはドメイン”cartwheel.dreamhost.com”に付いて。

このドメインは『Proxy Protection』と言うアメリカの企業が管理しているようです。
そして割当てているIPアドレスは、メールのアクセス元として書かれていたものと同じです。

今度は、このIPアドレスに付いて調べてみます。

どうやら、このIPアドレスの持ち主は色々悪事をはたらいているようで、既に危険なIPとして
登録済みのようです。
このIPアドレスを利用しているプロバイダーは、ロサンゼルスの『New Dream Network』
で、このIPが現在利用されているおおよその位置は、ロサンゼルスから約35Kmほど南西にある
『Brea(ブレア)』と言う街でした。

 まとめ

恐らくアクセスした輩は、乗っ取りなどサイバー犯罪の常習犯でしょう。
乗っ取ったサーバーにあるウェブサイトやメールアドレスを改ざんするのはもちろんのこと
その乗っ取ったサーバーを利用して、詐欺サイトを構築し詐欺メールを配信したりするものと思われます。
使っていないサーバーだから良かったものの、現在利用中のサーバーだったらと思うとぞっとします。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;