『詐欺メール』メールビジネスサービスから『Mail-1 Mail』と、来た件

デジタル
記事内に広告が含まれています。

意図しないメールアカウント閉鎖のメール
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

真夜中は地球の裏側では真昼間

いつもご覧くださりありがとうございます!

暑い日が続きますが皆さんはいかがお過ごしでしょうか?
私の住む名古屋は日本列島の中でも暑い地域に属し、毎夜熱帯夜で寝苦しい夜が続いています。
これがまだ1か月以上続くと思うとうんざりですね。

さて今回ご紹介するメールはこちらの不思議なメール。

これはうちの事務所のメールアドレスで”mail”アカウント宛に届いたもの。
でも実はうちの事務所のメールアカウントにはこの”mail”というアカウントは存在しないので
宛先不明となりサーバー内で取り残されていたものです。
同様に”contact”や”support”、”webmaster”宛にも届いていました。
では寸劇をどうぞ(笑)

なんだなんだこのメール。
Administration“って差出人だからこれはどこかの
システム管理者だよね。
内容からするとメールサーバーの管理者かな?
本文の末尾『メールビジネスサービス』ってあるけど…

貴方にも届いたのね。
同じものが私にも届いているわ!
これって7月24日の午前1時37分に
メールアカウントの閉鎖リクエストが届いたってことよね。
閉鎖されると仕事とか困ってしまうわ。

ええ、そりゃ困った!
早速リンクに行ってキャンセルしなきゃ!💦
でも、こんな真夜中に誰が送ってきたんだろう?
このためにわざわざ夜更かししたんだろうか?

お二人共ちょっと待ってください。
貴方たちの使っているメールアドレスのレンタルサーバーってどちら?
このメール、差出人のメールアドレスが”info@bell.ca”とあるので
このメールアドレスはドメインからすると『ベル・カナダ』という
カナダの大手電気通信事業者のものよ。
外資系企業ならともかくそんなところのレンタルサーバーなんて使うかしら?
それに『メールビジネスサービス』って書かれているのも矛盾しているわ。
真夜中に送られてきたこのメール、地球の裏側じゃ真昼間ってことをお忘れなく。

ってことは、もしかしてこのメールは偽物?
危ない危ない!
危うく騙されるとことだったよ💦
このメールについてHeartさんに詳しく調査してもらって
本当に偽者かどうか、目的は何なのかを確認していただきましょう。

では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきます。

件名は『[spam] Mail-1 Mail 7/24/2024 1:37:44 a.m.』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”Administration” <info@bell.ca>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

彼女も言っていましたが、このメールアドレスにあるドメインは『ベル・カナダ』という
カナダの大手電気通信事業者のもの。
うちの事務所のメールは国内の大手レンタルサーバーで運営しているのでこれとは
全く異なります。
故にこのメールは、うちが借りているレンタルサーバーからのものではありません。


『ベル・カナダ』のユーザーが差出人か?!

では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『from dmail.kagoya.net (mtlxpqak-1168109639.sdsl.bell.ca [69.159.240.71])』

ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。

ん?”dmail.kagoya.net”ってあるけど、これ、大手レンタルサーバーのカゴヤ・ジャパンさんの
ドメインじゃんか。
これってもしかしてカゴヤ・ジャパンさんのドメインも騙っているんでしょうか?
恐らく( )内に書かれている”mtlxpqak-1168109639.sdsl.bell.ca”が差出人の本当のドメイン。
末尾が”bell.ca”とあるので、この差出人は本当に『ベル・カナダ』に関係する人物だと思われます。
恐らく関係者と言うか『ベル・カナダ』からサーバーを借りているユーザーでしょうね。

末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。

Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが
末尾のIPアドレスは送信者のデバイスに割当てられたもので偽装することができません。

では、”Received”にあったドメイン”mtlxpqak-1168109639.sdsl.bell.ca”が
差出人本人のものなのかどうかを『Grupo』さんで調べてみます。

これがドメイン”mtlxpqak-1168109639.sdsl.bell.ca”の登録情報です。
これによると”69.159.240.71”がこのドメインを割当てているIPアドレス。
これでこの差出人は何かしら『ベル・カナダ』に関係する人物であることは確定です。

Received”に記載されているIPアドレスは、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に危険性や送信に使われた回線情報とその割り当て地を『IP調査兵団』さんで
確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

このIPアドレス既に危険なものとして周知されていました。
これを元に割り出した危険度は『脅威レベル:高』
その詳細はメールによる『サイバーアタックの攻撃元』表示とされています。

代表地点として地図に立てられたピンの位置は、『ベル・カナダ』のお膝元であるカナダの
モントリオール付近。
あくまで大雑把な代表地点なのをお忘れなく。
そして送信に利用されたプロバイダーは、やはり『ベル・カナダ』です。
このメールは、この付近に設置されたデバイスから発信され、ベル・カナダの
メールサーバーを介して届けられたようです。


『カゴヤ・ジャパン』のユーザーを狙った詐欺メール

では引き続き本文。

ユーザー- mail

7/24/2024 1:37:44 a.m.(木)現在、メールボックスmail@sansetubi.jpの閉鎖リクエストを受け付けております。

これがエラーまたは間違いであった場合は、以下のリンクを使用してキャンセルすることをお勧めします。

リクエストのキャンセル

メールビジネスサービス

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『リクエストのキャンセル』って書かれたところに付けられていて、
そのリンク先をコンピュータセキュリティブランドのトレンドマイクロの
サイトセーフティーセンター』で検索するとその危険度はこのように評価されていました。

既に『フィッシングサイト』としてしっかりブラックリストに登録済みですね。

このURLで使われているドメインは”pub-91ce6387c88d4555867d6dd74d55b88c.r2.dev
このドメインにまつわる情報を『Grupo』さんで取得してみます。

このドメインを割当てているIPアドレスは”104.18.3.35
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を
再び『IP調査兵団』さんで確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

代表地点として地図に立てられたピンの位置は、これまたカナダでトロント市庁舎付近。
こちらもあくまで大雑把な代表地点でございますが。
利用されているホスティングサービスは米国のサンフランシスコに拠点を置く『Cloudflare』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

『Wellcome to Webmail』と書いてあるのでActive!Mailのようなウェブメーラーへの
ログイン画面のようです。

恐らくこのメールは、国内大手ホスティングサービス『カゴヤ・ジャパン』のユーザーを
狙った詐欺メールです。
もちろんこれは偽物の詐欺サイトでログインしてしまうと、情報が詐欺師に流れてしまいます。


まとめ

今回は全てがカナダに絡む詐欺メールでしたね。
このように悪意を持って取得されたアカウント情報を詐欺師が利用して『カゴヤ・ジャパン』の
メールサーバーに不正ログインを行い、メールアドレスが乗っ取られ詐欺メールの配信などに
悪用されることでしょう。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


タイトルとURLをコピーしました