『詐欺メール』カゴヤジャパンから『最後の警告！！！』と、来た件

★フィッシング詐欺解体新書★

大量のメールが！？

昨夜突然『最後の警告！！！』と言うタイトルのメールが延々と送られてきた。
これいつ最後になるのか…(笑)

結局57通を受け取ったところでやっと終わりました。
送信元は『Kagoya Internet Routing』と書かれているのでホスティングサービスの『カゴヤジャパン』と
思われますが、送信者に記されているメールアドレスのドメイン(@以降)はうちの事務所のもの。
宛先を全て確認してみると、ドメインはうちの事務所のものになっていますが@より前のアカウント部分が
うちのサーバーには実在しないアカウントになっており、迷子となってメールサーバーに残されていました。
どうやらこれは、サーバーを乗っ取ることを目的とした迷惑メールの類のようです。

開封してみるとこのように書かれています。

どうやらメールサーバー容量の限界が近く、受送信ができなくなる前にリンクで容量を増やすよう促しています。
なんだか『97%いっぱい』なんて幼稚な表現しているので、もしかして差出人は日本人じゃないかもしれませんね。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『最後の警告！！！』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
客商売のホスティングサービスがこのような脅しのようなおどろおどろしい件名メールを送るでしょうか？
あり得ませんよね？！

差出人に記載されているのは、うちの事務所のドメインを使ったメールアドレスながらアカウントは
実在しないもの。
皆さんご存じとは思いますが、この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
なので簡単に信用できない部分です。

このメールの作者はXserverのユーザー

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

カゴヤジャパンを名乗っておきながらここに記載のあるドメインは、商売敵の『Xserver』名義のもの。
これはどういうことなのでしょうか？

まず、この差出人は自身のメールアドレスを偽っているので特定電子メール法違反となり
処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、”Received”にあったドメイン”sv7733.xserver.jp”が差出人本人のものなのかどうかを
調べてみます。

これがドメイン”sv7733.xserver.jp”の登録情報です。
これによると”183.181.79.94”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと全く同じ数字なのでこのメールアドレスはご本人さんのもので
間違いなさそうなのでこのメールの作者はXserverのユーザーであると言えるでしょう！

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に危険性や送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたプロバイダーは、当然『Xserver』です。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、日本の電脳街である東京の『神田』付近です。
このメールは、この付近に設置されたXserverのメールサーバーを介して私に届けられたようです。

浮かび上がったのは徳島県のとある企業

では引き続き本文。

(直リンク防止のためURLの一部の文字を変更してあります)

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に直書きされています。
このURLで使われているドメイン、注意してくださいね。
”kagoya.com”とカゴヤジャパンさんのもののようにも見えますが、このURLでのドメイン部分は
そこではなく”atec-awa.co.jp”ですからお間違いないように。

そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。

まあサーバー管理者を標的にした乗っ取り目的のメールなのでこの評価は仕方ないことでしょうか。
一応評価を変更していただけるように私から変更の申請を行っておきます。

このURLで使われているドメインは、サブドメインを含め”atec-awa.co.jp”
このドメインにまつわる情報を取得してみます。

このドメインの持ち主は『有限会社 エーテック』と言う徳島県で板金加工を営む企業のもの。
これは、この企業の関係者が犯人と言っているのではなく、もしかしたらこの企業の所持する
レンタルサーバーが、今回のような悪意のあるメールによって乗っ取られたものなのかもしれないので
逆に被害者なのかもしれません！

このドメインを割当てているIPアドレスは”183.181.79.94”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているホスティングサービスは、先程と同じように『Xserver』

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
今度ピンが立てられたのも先程と全く同じ『内神田』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

トレンドマイクロの『サイトセーフティーセンター』での危険度評価からすると、リンク先の
詐欺サイトは、どこからもブロックされることなく無防備な状態で放置されていると思われます。
そんなサイトに、調査を目的で安全な方法を利用して訪れてみることにします。

おっと、いちょまえに「reCAPTCHA」で人間確認されました。(^^;)

掘削機を全部選び次へ進んでみると、次に開いたのはメールサーバーのコントロールパネルの
『Active!Mail』へのログイン画面です。
これ、カゴヤジャパンさんに成り済ます迷惑メールのいつものパターン。

よく見ると、タブに書いてあるのは『ATWインターネットサービスWebMail』と書いてありますね。
これもカゴヤジャパンさんに成り済ます迷惑メールの決まり事。
『ATWインターネットサービス』もカゴヤジャパンさんの商売敵であるホスティングサービス。
恐らくはこの差出人、このホスティングサービスのユーザーも乗っ取り対象にしているのでしょう。

ここにIDとパスワードを入力しログインボタンを押してしまった時点で、その情報は犯人側に流れ
その情報を利用してサーバーが乗っ取られてしまうことになり、乗っ取ったサーバーを利用して
更に詐欺サイトや詐欺メールを作り出すものと思われます。

まとめ

今回のメールは、一般向けのものではなくサーバー管理者を標的にしたものなので
あまり皆さんには関係の無いものだとは思いますが、あまりにも数が多かったので
ご紹介することにしました。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;