サイトアイコン HEARTLAND

『詐欺メール』『重要: KAGOYA からの最後の警告』と、来た件

送信元はドバイでサイトはトロント
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

カゴヤ・ジャパンを騙る詐欺メール

いつもご覧くださりありがとうございます!

今回のメールは、レンタルサーバーのカゴヤ・ジャパンのユーザーが対象なのでそれ以外の方には
あまり関係ありません。
あしからずご了承ください。

このようなメールがサーバーに数通。

このメールはカゴヤ・ジャパン(以降カゴヤ)さんを騙った詐欺メール。
弊社はこのカゴヤさんでサーバーを借りていますので何処からか情報が漏洩しているのでしょうね。

宛先のアドレスのドメイン(@より後ろ)は確かに弊社のものですが、この”admin”なんてアカウントは弊社のメールアドレスにはありません。
アカウントは存在しないながらドメインが合っているのでサーバーに迷子メールとして保存されていたものです。
これ以外にも”support”なんてありがちなアカウントを当てはめて送ってきています。

では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきます。

件名は『重要: KAGOYA からの最後の警告』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。

差出人は『”Kagoya Japan Support Center” <no_reply@*****.***>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

ドメインが弊社のものになっているのでサーバー管理者でも騙りたかったのでしょうか?


京都のカゴヤさんがUAEのドバイからユーザーにメールを送るでしょうか?

では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『from EC2AMAZ-HDIPU9J (bba-217-165-121-124.alshamil.net.ae [217.165.121.124])』

ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。

末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くしたものがドメインと呼ばれるものです。

Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは送信者のデバイスに割当てられたもので偽装することができません。
Received”に記載されているIPアドレスは、差出人が利用したメールサーバーの情報で、これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を『IP調査兵団』さんで確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

代表地点として地図に立てられたピンの位置は、UAEのドバイ(Dubai)付近。
あくまで大雑把な代表地点なのをお忘れなく。
そして送信に利用されたプロバイダーもドバイにある『Emirates Telecommunications Corporation』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー
を介して届けられたようですが、皆さん、京都に本社を置くカゴヤさんがわざわざ中東のドバイにあるサーバーからユーザー宛にメールを送るでしょうか?
送りませんよね~、バカバカしい…


Chromeが説得力のある説明でブロック

では引き続き本文。

お客様のメールアカウントを最大限に保護するために推奨されてい るいくつかの重要なセキュリティアップデートを完了できませんで した。メールアカウントが停止されないように、 メールアカウントがまだアクティブであることを確認してください 。

今すぐメールアカウントを確認するには、ここをクリックしてください

心から、
KAGOYA セキュリティチーム

句読点があったり無かったり、それに『心から、』ってだから何なの?

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『今すぐメールアカウントを確認するには、ここをクリックしてください』って書かれたところに付けられていて、そのリンク先をコンピュータセキュリティブランドのトレンドマイクロの『サイトセーフティーセンター』で検索するとその危険度はこのように評価されていました。

既に『フィッシングサイト』としてしっかりブラックリストに登録済みですね。

このURLで使われているドメインは”activemail3-kagoya-com.info
このドメインにまつわる情報を『Grupo』さんで取得してみます。

このドメインは米国アリゾナ州にある『See PrivacyGuardian.org』が取得しているように見えます。
でもこれは本当の持ち主ではありません。
この『See PrivacyGuardian.org』はドメインの持ち主を公表することなくドメイン取得の代行を行うレジストラです。
それ故にこのサービスは、サイバー犯罪の温床となるとして問題視されています。

割当てているIPアドレスは”104.21.75.95
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を再び『IP調査兵団』さんで確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

代表地点として地図に立てられたピンの位置は、例によってトロント市庁舎付近。
詐欺サイト設置のド定番です。
利用されているホスティングサービスは米国の『Cloudflare』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

しっかりとセキュリティーの整った環境下でちらっとChromeで見に行ってみました。
すると…

Chromeってほんと賢いですね。
説得力ある説明でブロックしてきました。
Chromeがそう言うのでこれ以上の詮索はやめときます。


まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


モバイルバージョンを終了