サイトアイコン HEARTLAND

『詐欺メール』カゴヤジャパンから『【重要 注意喚起】サービス仕様の変更』と、来た件

届くはずのないメールアドレスにカゴヤさんから
※ご注意ください!
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

言葉巧みにリンクに誘い込む

事務所のinfoアカウント宛てに、契約しているホスティングサービスの『カゴヤ・ジャパン』から
このようなメールが届きました。

迷惑メールを1通隔離したので『どこでもメール』ってところへ行って確認するように促しています。
最初に言っておきますけど、カゴヤさんへの登録はこのメールアドレスは無く別のGmailアドレスなので
ここに届くはずがありません。
ってことでこのメールは、カゴヤさんを騙ってレンタルサーバーアカウントを詐取しサーバーを乗っ取ろう
とする悪質なメールです。

では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。

件名は『【重要 注意喚起】サービス仕様の変更』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
見出しに『重要 注意喚起』なんて付けて受信者の不安を誘っていますが騙されてはいけません!

差出人は
『Kagoya/No-reply <chijyo@kagoya.net>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

確かに”kagoya.net”は『カゴヤ・ジャパン』さんがお持ちのドメインですが、悪意のあるメールなので
偽装に決まっています!
その辺りは次の項でしっかり見ていくことにします。


カゴヤを名乗っておきながらAmazon AWSってどうよ!

では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『from [127.0.0.1] (ec2-13-113-112-84.ap-northeast-1.compute.amazonaws.com [13.113.112.84])』

あらあら、カゴヤさんを名乗っておきながらどうして”amazonaws.com”なんて『Amazon AWS』の
ドメインが書かれているのでしょうね?(笑)
本当にカゴヤさんならここにも”kagoya.net”と書かれているはずですよ!
これじゃ『頭隠して尻隠さず』です。

これで偽装は確定しました、これは特定電子メール法違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字”13.113.112.84”は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは、やはり『Amazon』のクラウドシステム。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、最近よく見かける『杉並区和泉2丁目公園』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。


リンク先は既に削除済み

では引き続き本文。

===========KAGOYA 迷惑メールチェックサービス 隔離通知===========
2023/09/28 0:00~23:59 に ****@*****.*** の
迷惑メールフォルダに隔離された新着メッセージの合計は1通でした。迷惑メール隔離フォルダの保存期間は7日間です。
※保存期間を過ぎたメールは自動的に削除されます。万が一、迷惑メールではないメールが隔離された場合は、
「どこでもメール」で必要なメールを通常のメールボックスに
移動してください。

<どこでもメール>
h**ps://solarpivotpower.com/wp-includes/js/kagoya.net/?uid=****@*****.***

※迷惑メール隔離通知はシステムより自動配信されています。
このメールに返信されても、内容の確認およびご返答ができません。

============================================================
©1998 QUALITIA CO., LTD. All Rights Reserved

(直リンク防止のためURLの一部の文字を変更してあります)

末尾の著作権表示にある『QUALITIA』は、サーバーアプリケーションなどを提供しているIT企業。
もちろんこれも大嘘ですので信じちゃいけません!

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンク先はGoogleの『透明性レポート』のサイトステータスはこのようにレポートされていました。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは”solarpivotpower.com
このドメインにまつわる情報を取得してみます。

アメリカフロリダ州のレジストラで管理されているこのドメインを割当てているIPアドレスは”66.235.200.146
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているホスティングサービスは『Cloudflare』

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
今度ピンが立てられたのもアメリカのフロリダ州にある『ジャクソンビル』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

おや?英語のページが開きましたね。
書いてあるのは…

This page doesn’t seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?

分かんないので翻訳してみます。

このページは存在しないようです。
ここを指しているリンクに問題があるようです。探してみてはいかがでしょうか?

ということは、すでにサイトは削除されたということですね。
恐らく悪意のあることが周知されサーバー管理者側がアクセスできないように制御したものと
思われます。

本来は、先程の『QUALITIA』が開発したActiveMailと言うウェブメールアプリケーションの
偽サイトのログインページが開らき、そこでサーバー管理者アカウントを盗み出した上で乗っ取り
詐欺サイトや詐欺メールの温床として利用されることでしょう。


まとめ

今回のメールは、サーバー管理者を狙ったもので一般の方を標的にしたものではありません。
このようなメールがあなたのお手元に届いても、サーバー管理者には連絡する必要はありません。
即座にゴミ箱にに捨ててしまいましょう!

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了