ウソばっかりででたらめのメール
いつもご覧くださりありがとうございます!
先日、うちのサイトへのアクセスが急激に減ったなんてお話を少しだけしましたが、昨日色々調べたところ
どうやらプラグインが悪さしていたようで、検索に引っかからないような設定に切り替えられていたことが
分かりました。
そのプラグインの使用を中止しGoogleに再審査の申請を行ったので数日すれば復旧するかと思いほっと
しています。
さて今回は、対象者が少し限られた方の宛となる詐欺メールのご紹介となります。
それがこのホスティングサービス(レンタルサーバー)カゴヤ・ジャパンさんの名を騙った
サーバーの乗っ取りを目的とした詐欺メールです。
このメールアプリでは、黄色の背景でしっかりと迷惑メールであることを注意喚起していますね。
我慢できずに色々落書きしてしまいましたが、上から順番に見ていくことにいたしましょうか。
まず差出人のメールアドレスに使われているドメイン(@以降)はカゴヤ・ジャパンさんの公式ドメインの
一つがちゃんと記載されています。
でも1つ目のリンクで使われているドメインはなぜだか”workers.dev”なんてカゴヤ・ジャパンさんの物とは
全く異なるものが使われています。
これじゃカゴヤ・ジャパンさんのサイトにはつながるはずありませんよね!
次に署名欄にある1つ目の『0120-504-746』という電話番号。
これは、カゴヤさんとは何の関わりも無い商売敵『GMOクラウド』さんが運営するレンタルサーバーである
『WADAX』のサポート窓口への電話番号。
更にその下にある『KAGOYAお問い合わせフォーム』として書かれているURLで使われているのも
『GMOクラウド』さんのドメインが使われたもので、実際にはリンク切れしていました。
そして『現在の移行特設窓口の電話受付』として記載されている『03-4233-7516』もカゴヤさんの
電話番号ではなくこれも『GMOグローバルサイン』の電話番号です。
これらの感じからするとこのメール、WADAXの詐欺メールを流用しているであろうことが想像できますよね。
では、このメールを更に解体し詳しく見ていきましょう!
まずはプロパティーから見ていきます。
件名は『【重要】ご確認ください:KAGOYAサーバー移行に関する重要なお知らせ』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
差出人は
『KAGOYA お客さまサービスセンター <info-ru@kagoya.net>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
ざっくり調べたところ『KAGOYA お客さまサービスセンター』という部署は存在しないようで
カスタマーサポートは『カゴヤ・ジャパンのサポートセンター』で受け付けているよとのこと。
そのくらいは調べてから書いた方が良いと思いますが…
ここに書かれているメールアドレスはカゴヤ・ジャパンさんの公式ドメインが使われているが
当然これは偽装です。
差出人はGoogleの仮想サーバーを使用
では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。
| Received:『Received: from 119.152.232.35.bc.googleusercontent.com ([35.232.152.119]:52518 helo=[127.0.0.1])』 |
ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。
ここにある”bc.googleusercontent.com”は、Googleが提供する仮想サーバーのドメインです。
差出人は、特定されることを恐れ一般的なホスティングサービスではなくこのような仮想サーバーを
利用したのでしょう。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や
電話番号で同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て
分かり易くしたものがドメインと呼ばれるものです。
ここにある”35.232.152.119”がそのIPアドレスで、この数字の集まりからおおよその住所を
突き止めることができるのですが、出てくるのはGoogleの仮想サーバーの位置なので今回は
調べる必要はありません。
カゴヤさんがトロントのサーバーを使う?!
では引き続き本文。
| ご担当者さま
平素は格別のご高配を賜り、厚く御礼申し上げます。
## 【重要】KAGOYA サービス サーバー移行のご案内
この度は、KAGOYAサービスのサーバー環境刷新に伴う移行作業にご協力いただき、誠にありがとうございました。
## アクションのお願い
お手数をおかけしますが、以下のURLをクリックして、アカウントの移行をお願いいたします。このアクションは非常に重要で、直ちにサーバーの利用を継続するために必要です。
[こちらをクリックしてアカウントを移行してください] => h**ps://kagoya-net-server-migration.webmail-center.workers.dev/#*****@******.***
プロセスを完了するためには、特設サイトでログインが必要です。
## サポート窓口のご案内
今後は、移行特設窓口を既存のお問い合わせ窓口に一元化し、よりご満足いただけるサポート窓口を目指してまいりますので、以下の窓口までお気軽にお問い合わせください。 |
※直リンク防止のためURLの一部の文字を変更しています。
このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは、カゴヤ・ジャパンさんのドメインとは程遠いものを使って本文内に直書きされています。
そのリンク先をGoogleの『透明性レポート』にてサイトステータスを調べるとこのようにレポートされました。
既に危険なサイトとしてしっかりブラックリストに登録済みですね。
このURLで使われているドメインは”workers.dev”
このドメインにまつわる情報を『Grupo』で取得してみます。
ウソか本当か知りませんがカナダの方がこのドメインの登録申請を行っていますね。
割当てているIPアドレスは”104.18.12.15”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を
再び『IP調査兵団』さんで確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)
代表地点として地図に立てられたピンの位置は、カナダのトロント市庁舎付近。
こちらもあくまで大雑把な代表地点でございます。
利用されているホスティングサービスは『Cloudflare』です。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。
危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。
するとまずしっかりとGoogleがブロックしてきました。
気にせず先に進んでみます。
すると開いたのは『Active!mail』と書かれたログインページです。
この『Active!mail』とは国内売上シェアNo.1を誇るビジネスWebメールで、カゴヤ・ジャパンさんの
サーバーにも設置されているもの。
奴らは、ここにユーザーIDとパスワードを入力させその情報を詐取しメールアドレスやメールサーバーの
乗っ取りを企んでいますので絶対に入力してはいけません!
まとめ
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |