日に何通も届くカゴヤさんを騙る不審なメール 今回は、ホスティングサービスやレンタルサーバーサービスの『カゴヤ・ジャパン』に成り済ます不審なメールのご紹介となります。
当方は、以前からずっとこのカゴヤさんにお世話になっているのですが、日に必ず数通こうやって同社に成り済ます不審なメールが届きます。
その中には、保留中のメールがあるメールがあるので今すぐリンクを確認しろだとか、セキュリティ強化を行ったのでアカウントの情報を更新しろなどと、現実的には無いものが多く見られるのですが、どれも偽サイトへのログインを装ってメールアカウントのログイン情報を盗み出そうとするものばかり。
今回ご紹介するのも同様な手口のメールです。 件名:[spam]【重要】KAGOYA.NET メール送信機能停止のお知らせ(TICKET ID: 20230823)
送信者 “KAGOYA.NET” <kazuakiiyanaga@kdn.biglobe.ne.jp> | | お客様にはご不便をおかけしますが、ご理解のほどよろしくお願いいたします。 ※◇◆ 登録済みのメール所有者は、アカウント プレミア ログイン法に従い、次のドメイン名のメール アドレスを確認する必要があります。 ◇◆。 影響を受けるドメイン: (******.***)。 24 時間以内にメール アドレスを確認してください。 ◇◆ http://emailverificationsupport.s3-website-ap-northeast-1.amazonaws.com/#admin@******.*** ◇◆注: アカウント プレミア ログイン メッセージを無視すると、上記のドメインが閉鎖されます。 ◆◇ よろしくお願いいたします。 ******.*** Web マネージャー。 顧客 ID: 01-83B7291O3AU
============================================================================================= © KAGOYA JAPAN Inc | 文中の『******.***』は、私が取得し運営しているドメインが記載されています。
ところで『アカウント プレミア ログイン法』って何でしょうね?
カゴヤさんにはそのようなプレミアムなアカウントなんて存在しませんよ(笑)
件名の見出しを確認 この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
メールアドレスのドメインを確認 送信者として記載されているメールアドレスのドメイン(@より後ろ)は『kdn.biglobe.ne.jp』
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
おかしいですよね。
カゴヤさんは、先に書いた通りホスティングサービスを行っているIT企業です。
当然自社ドメインを取得されて営業されていますが、このメールアドレスに記載されているドメインはカゴヤさんのものではなく『biglobe.ne.jp』ですから、これはある意味商売敵でもあるNTTが運営するインターネットサービスプロバイダ『ビッグローブ』さんのもの。
そんなの利用するのはカゴヤさんのプライドが許しませんよ! では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。 | Received: from mta-snd-e11.biglobe.ne.jp (mta-snd-e11.biglobe.ne.jp [27.86.113.11]) | まずは送信者のメールアドレスに記載のドメインに関する詳しい情報を『Grupo』さんで取得してみます。
 全然違いますよね、この結果からこの送信者が使ったとされるメールアドレスは偽装であることが断定できます。 では今度は、Receivedフィールドに記載されている『mta-snd-e11.biglobe.ne.jp』と言うドメインも同様に調べてみます。
 今度はぴったり一致したので、この送信者はビッグローブを利用するユーザーさんのようですね。 このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を『IP調査兵団』さんで導き出してみると、栃木県小山市付近であることが分かりました。
 どうもカゴヤさんに成り済ます不審なメールの送信者は、ビッグローブユーザーでこの小山市の方が多いようですね。
宛名を確認 もしこのメールが本当にカゴヤ・ジャパンさんだとすれば、当然私の氏名をご存じのはず。
それなのにこのメールの冒頭には『○□▽ 様』と言った宛名がありません。
このような大切なメールを送信するのに宛名が無いなんて大きなビジネスマナー違反です。
リンク先のドメインを確認 さて、本文にAmazonっぽいドメインを使って直書きされた詐欺サイトへのリンクですが、当然偽装されていて、実際に接続されるサイトのURLは以下の通りです。
【h**ps://wbag.com.au/active/kagoya/japan/index.html#admin@******.***】
(直リンク防止のため一部の文字を変更してあります)
それにしてもどうして『amazonaws.com』なんてAmazonっぽいドメインを使ったのでしょうね?
こんなの一目見てカゴヤさんじゃないことが分かりますよね? このURLで使われている『wbag.com.au』と言うドメイン。
調べてみたらオーストラリアに拠点を置く企業のものであることが分かりました。
今度は『aWebAnalysis』さんで割当てているIPアドレスを取得してみます。
 このIPアドレスからそのロケーション地域を調べると、米国のバーリントン(Burlington)付近であることが分かりました。
 リンクを辿ってみると、このようなページが開きました。 カゴヤさんを騙る不審メールでは毎度お馴染みの『Active!mail』のログインページ。
Active!mail は、ウェブ上でメールの受送信ができるウェブメーラーで、当然これは偽ページです。
奴等の目的は、メールアカウントを盗み取ること。
この偽ページにログインさせるふりをして、メールのアカウントとパスワードを盗み出してアカウントを乗っ取ります。
その乗っ取られたメールアドレスを使って、こういった不審メール配信の温床になったり、更にはウイルスメールの配信にも利用されることになりますので要注意です! | 