『詐欺メール』『【さくらのクラウド】決済失敗のお知らせ』と、来た件

★フィッシング詐欺解体新書★

ほんの一握りを狙った詐欺

いつもご覧くださりありがとうございます。
今回は、広くホスティングサービス事業を展開する『さくらインターネット』に関する詐欺メールの
ご紹介となります。
特定のホスティングサービスユーザーを狙ったフィッシング詐欺メールなので、Amazonや楽天など
大勢が対象ではなくほんの一握りの方を対象としたメールになります。

そのメールがこちらです。

どうやらさくらインターネットが運営する『さくらクラウド』の利用料の支払いがカード認証エラーにより
滞っているとのことで、リンクの会員メニューから対象となるクレジットカードの確認を行うように
促しています。

でもちょっとおかしな点があるのに皆さんはお気づきでしょうか？
そうです、差出人のメールアドレス”ndu@tksano.net”です。
ホスティングサービスを生業にしているさくらインターネットさんであれば、当然自社ドメインをお持ちで
メールアドレスももちろん自社ドメインのものであるのが然り。
でもこの差出人のメールアドレスはそれとは全く異なる”tksano.net”なんてドメインが使われていますよね。
因みにさくらインターネットさんの公式なドメインは”sakura.ad.jp”です。

また、更にこのメールにはこのような文章が記載されています。

あれ？クレジットカードの認証でつまづいているのに問題解決に至らない場合もどうしてクレジットカードの
支払いが可能なのでしょうね？(笑)

さくらインターネットユーザーが犯人？

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

むむ？？
”sakura.ne.jp”ってさくらインターネットがレンタルサーバーユーザーに貸し出しているドメイン
じゃありませんか。
偽物のはずなのにどうしてここにこのドメインが記載されているのでしょうか？

ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーの情報。
すなわち差出人が使った送信サーバーの自局情報です。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
でもこの数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。

このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”tksano.net”が差出人本人のものなのかどうかを調べてみます。

これがドメイン”tksano.net”を割当てているIPアドレスの情報です。
これによると”202.181.99.80”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIP”219.94.233.130”と同じ数字の羅列になるはずですが、それが全く異なるので
このメールのドメインは”tksano.net”ではありません。
これでアドレスの偽装は確定です！

では次に、”Received”のIP”219.94.233.130”に割当てられているドメインを検索してみます。

やはりこのIPアドレスには”Received”に記載されていた”os3-281-30376.vs.sakura.ne.jp”と言う
さくらインターネットがホスティングユーザーに貸し出しているドメインに割当てられていました。
これはどういうことなのかと言うと、この差出人は、さくらインターネットのホスティングユーザーで
さくらインターネットのサーバーを利用して、このさくらインターネットの詐欺メールを配信している
ということになります！

さくらインターネットのメールサーバーを利用してた！

”Received”に記載されているIPアドレス”219.94.233.130”は、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

地図に立てられたピンの位置は、大阪市北区付近。
もちろんこの位置情報はアバウトですが、確かさくらインターネットの本社は大阪市北区でしたね。
送信に利用されたのも『さくらインターネット』でした。
このメールは、この『さくらインターネット』本社付近に設置された『さくらインターネット』の
メールサーバーを介して私に届けられたようです。

全てが『さくらインターネット』

では引き続き本文。

※直リンク防止のためURLの一部の文字を変更してあります。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に直書きされていて、そのリンク先の『Nortonセーフウェブレポート』での
判定はこのようにレポートされていました。

『注意』との評価でカテゴリは『疑わしい』とのこと。
まあ少数の特定ユーザーを狙っている詐欺なのでこの程度なのでしょうか？

このURLで使われているドメインは”secure-sakura.ad-appliance-dns.lquaner.com”
このドメインにまつわる情報を取得してみます。

このドメインは、中国のアリババクライドを介して申請取得が行われており、そして現在管理を依頼されて
いるのはやはり『さくらインターネット』です。
このドメインを割当てているIPアドレスは”49.212.222.53”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

地図に立てられたピンの位置は、今回もさくらインターネット本社がある大阪市北区付近。
若干先程とずれてはいますが、IPアドレスからなので誤差のうち。
利用されているホスティングサービスも当然『さくらインターネット』です。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

『Nortonセーフウェブレポート』での危険度評価からすると、リンク先の詐欺サイトは
どこからもブロックされることなく無防備な状態で放置されていると思われます。
そんなサイトに、調査を目的で安全な方法を利用して訪れてみることにします。

すると『さくらインターネット会員認証』と書かれたページに飛びました。

ここに適当にIDとパスワードを入力してログインボタンを押してみます。
すると次に開いたのはこのようなクレカ情報を入力する画面です。

私はさくらインターネットユーザーではないので、本物のログイン後のページを閲覧することは
できないのですが、一連の流れからこの詐欺師がさくらインターネットのユーザーであることなので
恐らくはオフィシャルサイトをダウンロードし改ざんしたものであることが想像できるので
本物そっくりではないかと思われます。

もしあなたがさくらインターネットユーザーだとしても、絶対にこのページの情報を埋めてはいけません。

まとめ

しかし自分が利用しているホスティングサービスのユーザーを対象に詐欺を働くなんて
私には考えも及びません。
こんな詐欺被害に遭う人が一人もいないことを切に祈ります…

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;