『詐欺メール』KAGOYAから『重要：メールサービス停止のお知らせ』と、来た件

カゴヤジャパンを騙る悪意を持ったメール

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

1. ★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

ウィルスが添付されていた

最近ホスティングサービスの『カゴヤジャパン』さんを騙る迷惑メールが横行していますが
皆さんの所へは届いておりませんでしょうか？

うちの会社がカゴヤさんを利用しているからなのでしょうか？
今朝もこのようなメールが複数私の仕事用のメールアドレスに届いております。

この『やあ』から始まるメール、もちろんカゴヤさんが発信したものではありません。
こんなの誰がどう見たって怪しさ満載ですよね。
どこの人間が冒頭にこの友達のような挨拶をするのでしょうか？(笑)
このカゴヤさんを騙ったメールは、いつも難しいカタカナ言葉を使い受信者を不安に陥らせて
リンクに誘うのがその手口。
でも、このメールにそのリンクらしきものはどこ探しても付けられていません。
じゃ、こんなメール敢えてご紹介するまでも無いなとゴミ箱に移動しようとしたところへ、今度は
Gmailにこのようなメールが届きました。

私、仕事用のメールを無くさないようにGmailに転送するように設定してあり、その転送された
メールの添付ファイルにウイルスが付けられていたようです。
先程のメール、よく見ると最下段に『KAGOYA Verification Process.htm』なんてウェブファイルが
添付されていますね。
ファイル名の『Verification Process』は直訳すると『検証プロセス』
恐らくこのウェブファイルをたどりアカウントの検証確認をしろということでしょうか？
どうやらこのファイルがそのウイルスが付けられているようです。
もちろんこのようなファイルを開いてしまってはどのようなことが起きるか分からないので
いくら調査だとしてもリスクが大きすぎます。
と言う訳で、このファイルはそっとしておくことにして、メールだけを詳しく調べてみることにします。

件名は『重要：メールサービス停止のお知らせ – August 17, 2023, 7:03:46 PM』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『KAGOYA <noreply@*****.***>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

ドメインは、私の仕事用メールアドレスのものと同じドメインが使用されています。
もちろん”noreply”なんてそんなアカウントはありませんから偽装されています。

『杉並区和泉二丁目公園』付近のメールサーバーから

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『from [127.0.0.1] (unknown [20.243.233.239])』

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
前に書かれているIPアドレス”127.0.0.1”は、ローカルホストを意味するので、この差出人は
自前のメールサーバーを利用していることが分かります。
そして末尾の数字”20.243.233.239”は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは、『Microsoft Corporation』とあるのでマイクロソフトが運営する
ホスティングサービスを介したようです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、『杉並区和泉二丁目公園』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

まとめ

添付ファイルにあるであろうリンクも調査したかったのですが、いかんせんウイルスが付けられていては
手を出すことはできませんから今回の調査はここまで。
レンタルサーバーを営むホスティングサービスであるカゴヤさんを騙ったメールであることから
このメールの目的は、恐らくサーバーの乗っ取りを目論んだもの。
乗っ取ったサーバーで詐欺サイトを構築し、詐欺メールを送信し犯罪の温床と化すものと思われます。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)