『詐欺メール』『[KAGOYA] メールとドメインの操作に影響する重要なお知らせ』と、来た件

★フィッシング詐欺解体新書★

『KAGOYA.JP 法』

ってどんな法律？

マイナポイント第2弾の便乗詐欺メール、10月の初旬が過ぎ締め切りから1週間が経とうとする今日もまだ
届き続けています。(笑)
それも締切日を10月31日に書き換えてまでも…(笑)

全くどういうつもりなんでしょね？…(;^_^A

ま、そんな馬鹿げた奴らは置いておいて、今回はこちらのマニアックな詐欺メールをご紹介。

これは、サーバーのっtごりを企んだ輩からの詐欺・迷惑メールの類。
件名に『KAGOYA』とあるので、大手ホスティングサービスの『カゴヤジャパン』さんを騙ったもの。
最近この手のメールもかなり増えてきています。

本文にど～んとメールバナーが置いてあるので、メールに関する内容をアピールしているようです。
そしてその下に注意と書かれてメールアドレスが記載されていますから、このメールアドレスに対しての
事なのだと分かりますね。
赤枠で囲ってる部分には、弊社事務所のドメイン名が記載されています。
何やら『登録されたメールの所有者は KAGOYA.JP 法に従って、以下のドメイン名のメールアドレスを
証明する必要があります。』と書いてあります。
えっ？『KAGOYA.JP 法』ってなんだ！カゴヤジャパンにはそんな独立した法があるのか？！(笑)
それにその法ってのに従うと、メールアドレスを証明する必要があると書いてあります。
期限は1営業日以内らしいけど、それを証明しないとどうなるかとか何の言及もありませんね。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『[KAGOYA] メールとドメインの操作に影響する重要なお知らせ』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。

差出人は
『*****.***ウェブマネージャー” <support@kagoya.jp>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

確かに”kagoya.jp”ってドメインはカゴヤジャパンさんの管理しているもの。
でもこのメールは誰がどう見ても詐欺メールなので当然偽装されています。

犯人はさくらインターネットユーザーで決まり！

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

あはは、ここにある”sakura.ne.jp”はカゴヤジャパンさんの商売敵の『さくらインターネット』の
ドメイン。
ということは、この差出人はさくらインターネットユーザーで、カゴヤジャパンに成り済まして
このメールを送ってきたのでしょうか？

この”Received”に記載のIPアドレスは差出人が利用したメールサーバーに割当てられたもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”kagoya.jp”が差出人本人のものなのかどうかを調べてみます。

これがドメイン”kagoya.jp”の登録情報です。
当然カゴヤジャパンさんのもので、これによると”133.18.75.203”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIPと同じ数字の羅列になるはずですが、それが全く異なるので
このメールのドメインは”kagoya.jp”ではありません。
これでアドレスの偽装は確定です！

では今度は逆に”Received”に記載のIPアドレス”59.106.13.24”にはどのようなドメインが割り当てられて
いるのでしょうか？
大変気になりますよね、では早速～♪

はい、想像通りの結果ですね！
この差出人は、カゴヤジャパンではなくさくらインターネットユーザーということになります！！

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字”59.106.13.24”は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

やはり利用されたプロバイダーは『SAKURA Internet Inc.』

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、国内有数のサイバー犯罪発生地『JR神田駅』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

詐欺サーバーもさくらインターネットを利用

では引き続き本文。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『アカウントを確認します』って書かれたところに付けられています。
このリンク何度かリダイレクト(自動転送)が仕組まれていて3つ目のリダイレクト先が詐欺サイトで
そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での危険度評価がこちらです。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このリンク先のURL間違えないよう良く見てくださいよ！
このURLで使われているドメインは”kagoya.com”でさもカゴヤジャパンさんのもののように見えますが
このURLで言うところのドメイン部分はそこではなくて”fineblue.jp”ですから安易に信じないでください。

このURLで使われているドメインは”fineblue.jp”
このドメインにまつわる情報を取得してみます。

わぁ～、千葉県にあるアパレル企業の情報が出てきちゃいました。(^^;)
(ぼかしても調べりゃわかっちゃいますが…)
この企業は、犯人と言う訳じゃなくて、この企業のサーバーがこのような輩に乗っ取られて
サイバー犯罪に利用されている可能性もあるので、ここでは公開を控えさせていただきました。

このドメインを割当てているIPアドレスは”219.94.211.26”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

表示された地図が示す地域は『大阪府大阪市北区大深町』
確かここはさくらインターネットユの移転元の旧住所、まだここにサーバー群が残っているのでしょうか？

利用されているホスティングサービスは当然『SAKURA Internet Inc.』

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

開いたのは、カゴヤジャパンさんの偽メールではおなじみのActiveMailと言うウェブ上でメールサーバーを
管理できるウェブアプリケーションへのログインページ。
本物そっくりですが、騙されてはいけません！
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまい
それらの情報を利用して詐欺師たちはサーバーを乗っ取ってサイバー犯罪の温床としてしまいます。

まとめ

この”fineblue.jp”と言うドメインの持ち主である千葉県にあるアパレル企業は、詐欺メールの犯人ではなく
このように乗っ取られてしまった被害者の可能性が高いと思います。
このようにサーバーのアカウント情報を引出そうとするメールも大変多いので気を付けたいものです。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;