『詐欺メール』『Please Re-activation Your Email Portal.』と、来た件

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

鍵屋さんからメールアカウントに関するメールが？！

皆さん、いつもご覧くださりありがとうございます！
朝一のメールチェックには相も変わらずいつも同じ顔ぶれのメールが200通以上ずら～っと並ぶ私の受信箱。
この中から、新種を見つけていつもご紹介しているのですが、もう同じものばかりで新たにご紹介するメールが少なくなっているのは事実です。
そんな中、今回はこのような意味不明なメールが届いていたのでご紹介しておこうと思います。

タイトルは英語で『[spam] Please Re-activation Your Email Portal.』と書かれていて、これを直訳すると『[スパム] 電子メール ポータルを再アクティブ化してください。』
これをこのまま鵜呑みにすると、私のメールアカウントがブロックされていて再開手続きを行わないといけないと読み取れます。
でも冒頭の見出しにスパムとスタンプされていますから、このメールは通過サーバーでスパムメールと判断されたものなのでこのメールは悪意のあるものだと判断できます。
それを意識しながら以降確認して見ていきましょう。

送信者として書かれているのは『”Webmail Admin Alerts.” <info@keydog.co.jp>』
これも翻訳してみると『ウェブメール管理者アラート <info@keydog.co.jp>』となります。
@以降のドメインが”co.jp”となっているので、日本のドメインが利用されていますが。
このドメインは、神奈川県横浜市に拠点を置く鍵の修理業者『キードッグ』さんの物。
もちろんそんなセキュリティー関係の企業がこのような怪しいメールを発するはずもないので。
このメールアドレスは、偽装に使われているかそれともアドレス自体が乗っ取られているかのどちらかが考えられます。

その辺を解明するために、次の項でヘッダー情報から少しずつ探ってみることにします。

本当は『キードッグ』さんからではなくドイツからのメールだった

ではまず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。

ほらね、本当ならここにも『キードッグ』さんの”keydog.co.jp”が刻まれるはずなのにそれとは異なる”vmi2130053.contaboserver.net”なんてドメインが記載されていますね。
これはもうこの差出人は『キードッグ』とは何の関連も無い者から送られてきたことになります。
このドメインについて『Whois』さんでざっくり調べるとこのような結果が表示されました。

『Country:DE』とあるります。
この”DE”は”Germany”の略なのでこのドメインはドイツで取得申請されていることが分かります。

”Received”の末尾で4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くしたものがドメインと呼ばれるものです。

”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは送信者のデバイスに割当てられたもので偽装することができません。
このIPアドレスは、差出人が利用したメールサーバーの情報でこれを紐解けば差出人の素性が見えてきます。

このIPアドレスを元に送信に使われた回線情報とその割り当て地を『IP調査兵団』さんで確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

代表地点として地図に立てられたピンの位置は、オランダのアムステルダム付近。
あくまで大雑把な代表地点ですが、詐欺メール調査では時々見かける地図です。
そして送信に利用されたプロバイダーはドイツのミュンヘンに拠点を置く『Contabo GmbH』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバーを介して届けられたようです。

リンク先は既に削除済み

では引き続き本文。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『クリックしてアカウントを今すぐ再アクティブ化してください』って書かれたところに付けられていて、そのリンク先をコンピュータセキュリティブランドの『Norton』の『Nortonセーフウェブレポート』で検索してみるとこのように判定されていました。

既に『フィッシングサイト』としてしっかりブラックリストに登録済みですね。

このURLで使われているドメインは”sapoom.adamclarkcinematographer.de”
このドメインにまつわる情報を『aWebAnalysis』さんで取得してみます。

このドメインを割当てているIPアドレスは”172.67.197.223”このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を再び『IP調査兵団』さんで確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

なんだかいつも同じキャプチャー貼り付けているみたいに思うかも知れませんが、毎回IPアドレスが異なることで別の検索結果だとお分かりいただけると思いますが、代表地点として地図に立てられたピンの位置は、カナダのトロント市庁舎付近。
利用されているホスティングサービスは『Cloudflare』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

リンク先を確認してみましたが『404 Not Found』と記載のエラーページが開きました。
これは、指定されたページが存在しない場合に返されるエラーコードなので詐欺サイトは既に削除されていることを表します。
恐らくホスティングサービスの『Cloudflare』が危険を察知して接続させないよう処置を行ったものと思われます。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;