容量オーバーしているのにどうしてメールが届くのかな? いつもご覧くださりありがとうございます。 何気なく普段使っているメール。 そこで使われているのがメールアドレスですが、会社のものであったり、GoogleやYahoo!の フリーメールだったり、キャリアから貸与されたものやまたはご自身が独自で所得されたものでああったりと 様々なものがあると思います。 そんな日々の連絡ツールとして使ったいるメールアドレスが、ある日突然誰かに乗っ取られてしまったら なんて考えたことはありますでしょうか? 今回は、そんなメールアカウントの乗っ取りを目的とした詐欺メールのご紹介となります。 そのメールと言うのがこちらです。
さもメールサーバーの管理者から送られてきたようなふりをして、サーバーの容量が限界に達したため 4通のメールが返信されたことを理由に、メールサーバー容量を変更するためリンクに誘い込むものです。
でも、ちょっと考えてみてください。 4通のメールが返されてしまう程サーバー容量がひっ迫しているのにどうしてこのメールは正常に 届いたのでしょうか? 普通ならこのメールでさえ届かないはずだと思いませんか?(笑) 余りに浅はかな詐欺師ですよね!
目的は、メールアドレスの乗っ取り。 乗っ取ったメールアカウントはろくなことに使われずフィッシング詐欺メールの温床とされることでしょう。
では、このメールを解体し詳しく見ていきましょう! まずはプロパティーから見ていきます。
件名は『4 受信したメールが返されました。 05 March, 2024』 ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
差出人は 『***** Message Server <vega.kurnia@petromine-energy.com>』 皆さんはご存じでしょうか? この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。 ですから、ここは信用できない部分です。
”*****”部分は、私のメールアドレスの@以降のドメインが記載されており、いかにもサーバー管理者からの メールのように感じてしまいます。 もちろん”petromine-energy.com ”なんてドメインに全く心当たりなんてありません。
IPアドレスの割り当て地は?! では、このメールが悪意のあるメールであることを立証していきましょうか! まず、このメールのヘッダーソースにある”Received ”を確認し調査してみます。 私が愛用のThunderbirdの場合、『表示(V )』⇒『メッセージのソース(O )』と進むと見られますよ。
ここに掲げた”Received ”は、ヘッダー内に複数ある”Received ”の中で時系列が一番古いもので このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で 同じ数字の集まりは世界中に1つしかありません。 因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした ものがドメインと呼ばれるものです。
”Received ”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは 送信者のデバイスに割当てられたもので偽装することができません。 故にこのIPアドレスを紐解けば差出人の素性が見えてくるはず! ではこのIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法 違反となり処罰の対象とされます。
※特定電子メール法違反 ・個人の場合、1年以下の懲役または100万円以下の罰金 ・法人の場合、行為者を罰する
では、メールアドレスにあったドメイン”petromine-energy.com ”が差出人本人のものなのかどうかを 調べてみます。
これがドメイン”petromine-energy.com ”を割当てているIPアドレスの情報です。 これによると”222.165.225.243 ”がこのドメインを割当てているIPアドレス。 本来このIPは”Received ”のIPと同じ数字の羅列になるはずですが、それが全く異なるので このメールのドメインは”petromine-energy.com ”ではありません。 これでアドレスの偽装は確定です!
更に”Received ”のIPアドレス”139.64.172.146 ”について調べるとこのような結果が出ました。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)
どうやらこのIPアドレスは現在、アメリカテキサス州オースティンに拠点を置くゲーム会社が 利用しているようです。
利用されたプロバイダーは『Centrilogic, Inc.』 このプロバイダーは、トロントとニューヨークに拠点があるようです。 このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー を介して私に届けられたようです。
サンフランシスに設置されたウェブサイトで運営 では引き続き本文。
このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。 そのリンクは『リンクをクリックしてプロセスを完了します』って書かれたところに付けられていて コンピュータセキュリティブランドの『Norton』の『Nortonセーフウェブレポート 』では このように判定されていました。
既に『マルネット』としてしっかりブラックリストに登録済みですね。 この『マルネット』と言う言葉、聞きなれない言葉ですが、簡単に言えばマルウエアを配信するための ネットワークを示す言葉です。
このURLで使われているドメインは”visuallizer.com ” このドメインにまつわる情報を取得してみます。
近衛御メインを申請したのは、匿名でドメイン申請代行を受け付けているアメリカアリゾナ州にある 『Domains By Proxy』と言う企業です。 匿名でドメイン申請代行を行うことでサイバー犯罪の温床となるので、この企業は問題視されています。 このドメインを割当てているIPアドレスは”172.67.204.134 ” このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。 (※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)
地図に立てられたピンの位置は、メジャーリーグのサンフランシスコジャイアンツの本拠地 『オラクル・パーク』のすぐ脇辺り。 利用されているホスティングサービスは『Cloudflare』 この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。
危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。
開いたのはこのようなキッチンにコックが並んだ絵画が付いたログインページです。 『924.44MBのメールボックススペースが使用されます』とあるのでサーバー容量は1GBなのでしょうか? どうやら4通じゃなくて6通貯まっているようですね。(笑)
『サインインしてドキュメントを共有する』って、メールサーバーにログインするのに ドキュメントを共有って、ちょっと意味不明な感じです…
因みに再読み込みしてみたら、昭和のマッチ箱のような絵柄が付けられたページに変わり、貯まっている メールの数も7通に変更されたので、ランダムに変化するようです。
まあ、こんな気色の悪いサイトされもログインしないと思いますが…
おまけ このメールの表示形式をHTMLからTEXT形式に切り替えてみたところ、このような英文が炙り出しのように 浮き上がってきました。
抜き出して翻訳してみました。
なんだかさっぱり意味が分かりませんが、これは恐らく『ワードサラダ』と呼ばれるもの。 このワードサラダとは、簡単に言えば、メールの受信サーバーに備わった詐欺メールフィルターを 通過させるために、意味不明な文章を混入させこれらのフィルターを混乱に陥らせるための 1つの手法です。 こんなことをしてまでも私のメールアドレスを乗っ取りたかったんですね。(笑)
まとめ 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの フィッシング詐欺サイトが作られ消滅していきます。 次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;