『詐欺メール』カゴヤジャパン『非常に重要なメッセージ』と言うメールが大量に送られて来た件

★フィッシング詐欺解体新書★

ありそうなアカウント名を100個以上使って

うちの会社、クライアントから等のメールでアドレスのアカウント部分(@より前)が間違っていても
サーバーに残るように設定してあるので、様々なメールが届きます。

今朝、その迷子メールをチェックしてみたらこのように『非常に重要なメッセージ』と言う件名の
メールが111通も届いていました。

送信者欄に『eKagoya ISP』と記載されているので、うちの事務所が契約しているレンタルサーバーの
『カゴヤジャパン』からのものと思われます。

それにしてもどうしてこんなに大量のメールが届いたのでしょう…(-_-;)
この中から1通チョイスして開封し中身を見てみます。

送信者のメールアドレスのアカウント名は『mori』でドメイン(@以降)はうちの事務所のもの。
この『mori』と言うアカウントはうちのメールアカウントに存在しないので迷子として
残されたようです。

気になって他のメールのアカウントも確認してみると、不思議なことに、どのメールも差出人と受信者に
同じアドレスが記載されており、このようにいかにもありがちな苗字や名前、それに『info』や『recruit』
など企業窓口として使用しているっぽいアカウント名が利用されていました。
ということはこの差出人、この110通余りのアカウントを知恵絞って考えて送ってきたことになりますが
カゴヤジャパンさんってよほど暇なのでしょうか？(;^_^A
って言うか、本物のゴヤジャパンさんならうちの管理者宛にメールしてくるはずなのでこのメールは
カゴヤジャパンさんからではなく、別の人間が何らかの目的があってこのメールを送ってきているものと
思われます。

本文には、メールサーバーが溢れたのでストレージ容量を拡大するように求めています。
ということは、その目的は、サーバーのアカウントを詐取しサーバーの乗っ取ることのようです。

さて、このバカバカしいメール解体し目的等を詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『非常に重要なメッセージ』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
人の気を引くような件名を付けて送ってきていますね。

差出人は、受信者と同じメールアドレスですが、先に書いた通り、うちの事務所のドメインを使ったもの
ながらアカウントが存在しないものです。

この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

あれれ？別のホスティングサービスの名前が？！

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

アドレス偽装は一目瞭然ですね！
送り主が本当にカゴヤジャパンさんなら表示されるドメインは”kagoya.net”や”kagoya.com”など
”kagoya”の冠が付いたもののはずなのに、でもここには商売敵である『エックスサーバー』さんの
ドメイン”xserver.jp”が書かれています。
ということは、この差出人は、カゴヤジャパンではなくエックスサーバーに関わりのある人間です。

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字”120.136.14.43”は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは『Xserver Inc.』とあるのでやはり『エックスサーバー』のメールサーバー。
ホスト名にある”sv742.xserver.jp”は、エックスサーバー内のサーバーエリア名でしょう。

地図の地点は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

サーバーの設置場所としてピンが立てられたのは、詐欺メールでど定番の『JR神田駅』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

URLのドメインもエックスサーバーが管理

では引き続き本文。

(直リンク防止のためURLの一部の文字を変更してあります)

この文面のメールちょくちょく届くのですが、どことなく日本語がおぼつかないですよね。
メールボックスメモリースペースなんてどこのプロバイダーが使うのでしょう？(笑)

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に直書きされていて、そのリンク先はGoogleの『透明性レポート』の
サイトステータスはこのようにレポートされていました。

やはりあまり良くないサイトのようですね。

このURLで使われているドメインは、サブドメインを含め”w-support.jp”で”activemail.kagoya.com”では
ありませんのでご注意ください。

このドメインにまつわる情報を取得してみます。

このドメインもやはり『エックスサーバー』によって管理されています。
そしてドメインを割当てているIPアドレスは”202.226.37.191”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

もちろん利用されているホスティングサービスは『エックスサーバー』で、今度のサーバーは
”sv160.xserver.jp”です。

そして当然の如くピンが立てられたのは、例によって『JR神田駅』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

リンク先に行ってみると、リダイレクト(自動転送)されて、本物のカゴヤジャパンのコントロールパネルの
ログインページが開きました。

『ATWインターネットサービス』ユーザーも標的？！

111通の中で他のURLにリンクしているメールもあったのでそちらも確認してみました。
そのURLはGoogleの『透明性レポート』のサイトステータスはこのようにレポートされていました。

こちらも危険なサイトとしてレポートされていますね。

で、リンク先に接続するとこのようにメールサーバーのコントロールパネルである『ActiveMail』の
ログインページが表示されました。
もちろんアカウントを詐取するためだけに作られた嘘のページですけどね。(;^_^A

何か気になりませんか？
そう、サイトのタブに『ATWインターネットサービスWebMail』とありますよね？
実はこの『ATWインターネットサービス』もカゴヤジャパンやエックスサーバーと同じようにホスティングサービス。
恐らくこの犯人は、ここのユーザーも標的にして悪意のあるメールを送っているのでしょう。

ここにIDとパスワードを入力しログインボタンを押してしまうと犯人側にそのアカウント情報が流れてしまい
サーバーを乗っ取られてしまうことにあります。

まとめ

差し出したのはもう完全にエックスサーバーのユーザーですね！
100通以上も送ればもうそれは迷惑メールでしかありません。
エックスサーバーに調査依頼すれば調べてくれるのでしょうか？(;^_^A

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;