『詐欺メール』『!-あなたのメールは今日非アクティブとしてマークされました』と、来た件
★フィッシング詐欺メール解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
★現在、証券会社に成り済ます悪質なメールが大量発生中、資産運用されている方はご注意ください★
- 件名の見出しを確認
- メールアドレスのドメインを確認
- 宛名を確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
では、進めてまいります。
本日のトレンド
最近1日の最初のエントリーに書いている『本日のトレンド』ですが、今回からシリーズ化していこうと思います。
本日のトレンドは、私が夜間PCから離れている間に届いた怪しいメールの中で一番多く届いたもので、恐らく世の中にも沢山流れているはず。
それをこのように取り上げることで、皆さんの目につくところとなり一人でも被害者が少なくなるのではないかと思います。
既に当ブログ内でご紹介しているものもあるので、そのページでご紹介するメールとは異なるとは限りませんのであしからずご了承ください。
さてシリーズ化第一弾は、こちらの『!-あなたのメールは今日非アクティブとしてマークされました』と言う意味のよく分からないメールです。
このメールが一晩にちょうど50通も届いていました。
前書き
これらは、私の管理するメールサーバーに迷子として残されていたもので、アドレスの@以降のドメイン部分が正しくても@より前のアカウント部分が管理しているメールサーバーのアカウントに存在しないものなので迷子になってとどまっていたものです。
どうやらこの件名のメールは、今までにご紹介したことがなさそうなので、今回はこちらのメールを取上げてみようと思います。
では、今回も詳しく見ていくことにしましょう。
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
メール本文
ここから本文
↓↓↓↓↓↓
件名:[spam] !-あなたのメールは今日非アクティブとしてマークされました, 2025/5/9 7:00:55
送信者:"mail_*****.***" <MISSING_MAILBOX@SYNTAX_ERROR>
shop@*****.***
メールアカウント shop@*****.***へのアクセスは本日 2025/5/9 7:00:55 で期限切れになります。
同じパスワードを引き続き使用するには、 以下をクリックしてください
https://auth.sso.*****.***/mail/
*****.***のサポート
↑↑↑↑↑↑
本文ここまで
このメールの中で複数回出てくる『*****.***』には、私が管理しているサーバーで運用しているドメインが記載されています。
送信者名や本文の書き方からして、このメールは『*****.***』と言うドメインを扱うサーバーの管理者を装っているようで、受信者のメールパスワードの有効期限が本日で切れるのでリンクからパスワードの更新を促しています。
しかし馬鹿ですよね!
サーバー管理者が見る可能性が非常に高いこのようなメールをサーバー管理者を装って送るなんて…😆
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
メールアドレスのドメインを確認
では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。
Received: from apchem.nagoya-u.ac.jp (218-219-125-240.ppps.bbiq.jp [218.219.125.240])
本来ならここには、送信者のメールアドレスと同じドメインが記載されるはずですがそれとは全く異なる複数のドメインが記載されていますね。
通常は、カッコ内に書かれているドメインが送信者のもので、カッコ外の物が偽装の可能性が高いとされています。
当然どちらも私が管理するメールサーバーの物ではありません。
ここの末尾に記載のIPアドレスは、送信サーバーが自身で書き込むもので、偽装することはできません。
では、試しにまずはドメイン『apchem.nagoya-u.ac.jp』と言うドメインに関して詳しい情報を『Grupo』さんで取得してみます。
これによるとこのドメインは名古屋大学が管理取得しているものですが『対応するIPアドレスがありません』とあるので、現在は利用できないものです。
次に、送信者のものとされる『ppps.bbiq.jp』と言うドメインは、九州電力グループの『QTnet』が提供するインターネットサービス『BBIQ』のインターネット接続サービスを利用しているユーザーに動的に割り当てられるもの。
ということは、このメールの送信者は『BBIQ』のユーザーだと簡単に分かります。
このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を『IP調査兵団』で導き出してみると、東京のJR神田駅付近です。
それにこのIPアドレスは既にブラックリストに登録されて、そのカテゴリは『サイバーアタックの攻撃元』とされています。
最近この辺りから発信される怪しいメールが増加中です。
宛名を確認
このメールの冒頭には『shop@*****.***』と『宛名』が書かれていますが、先程からお話しているようにこのようなアカウントのメールアドレスは私の管理しているメールサーバーには存在しません。
どこかで入手した漏洩メールアドレスリストにあるドメインに適当に、ありがちなアカウントを付加して無差別に送り付けているのでしょうね。
リンク先のドメインを確認
さて、本文に直書きされた詐欺サイトへのリンクですが、偽装されていて、実際に接続されるサイトのURLは以下の通りです。
【h**ps://quercus.org/valid/valid.html】
(直リンク防止のため一部の文字を変更してあります)
当然私が管理するサーバーで運用されているドメインとは全く異なるものが使われています。
先程と同様にこのドメインを割当てているIPアドレスを『aWebAnalysis』さんで取得してみます。
次にこのドメインに関する詳しい情報を『Whois』さんで取得してみます。
『Organization』には『Domains By Proxy, LLC』と記載されています。
これは、米国のドメインレジストラ『Domains By Proxy』が提供するドメインプライバシー保護サービスで、このサービスを利用すると、ドメインの登録者の各種情報(名前、住所、電話番号、メールアドレスなど)が公開されるのを防ぐため、その代わりにこのように、Domains By Proxy,の情報が表示され、スパムや不正アクセスからの保護が強化することができます。
半面最近は、このサービスが藪蛇(やぶへび)になりこういったサイバー犯罪の温床とされることが多く見られます。
割当てているIPアドレスは『68.178.245.10』
『IP調査兵団』でこのIPアドレスからそのロケーション地域を調べると、米国のテンピ付近であることが分かりました。
リンクを辿ってみると、一旦はウイルスバスターにブロックされましたが、解除して進むとこのようなページが開きました。
『Session authentication! please provide your password to continue.』と書いてあるので、ログインページのようです。
小さくて見難い上段中央のバナーを大きく引きのばしてみると、このようになりました。
この画像を元にChatGPTで問い合わせてみるとこのように回答が返されました。
『このロゴは「阿里邮箱(AliMail)」、すなわち中国のAlibabaグループが提供するメールサービスに関連しており、画像は「華東エリアの販売代理店」であることを示しています。』
ということで、このバナーはAlibabaグループが提供するメールサービスの物なので、このページはそのサービスに設置されたメールサーバーへのログインページのようです。
もちろん私の管理するサーバーは、中国のアリババではなく国内のしっかり名の知れたホスティングサービスです。
当然、ここにログインしてしまうとその情報は詐欺犯に把握され不正ログインが可能となります。
不正ログインされると、メールアカウントが乗っ取られこのような悪質なメール送信の温床となることでしょう。
まとめ
こんなメールがサーバー管理者に届くなんて滑稽ですよね(笑)
まあ、そんなことはお構いなしなんでしょうね!
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;