『詐欺メール』カゴヤ・ジャパンから『サービス契約満了のお知らせ(ドメインメンテナンス)』と、来た件
★フィッシング詐欺メール解体新書★
「生成AI」が普及し増々便利になる私たちが生活する世の中。
詐欺師もこれを逃すはずが無く、怪しいメールにも生成AIが浸透しつつあり
最近では片言の日本語ではなく、違和感のない流暢な言葉を使うメールが多くなりました。
このブログは、悪意を持ったメールを発見次第できる限り迅速にご紹介し
一人でも被害者が少なくすることを願い、怪しく危険なメールを見破る方法の拡散や
送信者に関する情報を深堀し注意喚起を促すことが最大の目的です。
ここにきてようやくホスティングサービスも重い腰を上げセキュリティ強化に取り組みだしたようで
2025年9月より悪質なサイトの取り締まりを強め、多くの詐欺サイトがその対象となり
生まれては直ぐに遮断されるを繰り返しイタチごっこの様相を呈してきました。
当方もサイトに息があるうちにできる限り迅速にご紹介しようと思ってはいますが
掲載する時点で既に閉鎖や接続遮断に追い込まれているサイトが多いのが現状。
この後、最終的にこのメールにつけられたリンクまで調査しますが、これらの理由により
既にリンク先は機能を停止している可能もありますのでご了承ください。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
- 件名の見出しを確認
- メールアドレスのドメインを確認
- 宛名を確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
最初に1点だけ以下の件ご了承ください。
本来ならメールの本文を画像でお見せする方が分かりやすいかも知れませんが、全てを画像化してしまうとGoolgeなどのキーワード検索に反映されず、不審なメールを受取って不安で検索される方に繋がらない可能性が高くなります。
できる限り沢山の方に見ていただき情報が拡散できるようにあえて本文を丸々コピペしてテキストにてできるだけ受け取ったメールに近い表現にした上で記載しています。
では、進めてまいります。
前書き
「国慶節」最終日の今日も怪しく危険なメールは気持ちの悪いくらい少ない状況が続いています。
この状態がずっと続いてくれればと思うのですが、そうな簡単には問屋は降ろしてくれそうになく、来週にはまた元の状態に戻るものと思われます。
さて今回は、ホスティングサービスの「カゴヤ・ジャパン」に成り済ます不審なメールのご紹介となります。
では、詳しく見ていくことにしましょう。
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
メール本文
ここから本文
↓↓↓↓↓↓
件名:[spam] サービス契約満了のお知らせ(ドメインメンテナンス)
送信者: “カゴヤ・ジャパン サポートセンター" <support@kagoya.jp>
平素より弊社サービスをご利用いただき、誠にありがとうございます。
************************************************************
ご契約サービス: 属性ドメイン
ドメイン名: *****.***
有効期限: 2025年10月6日
********************************************************************
上記ドメイン名の契約期間がまもなく満了となります。
契約満了日をもって、当該ご契約サービスは解約となります。
更新を希望されるドメイン名の料金が全額お支払い済みであることを再度ご確認ください。
※上記は、属性ドメインサービスの契約満了のお知らせです。
同一ドメイン名で複数のサービス契約をお持ちの場合はご注意ください。
********************************************************
ドメイン契約の更新はこちらをクリックしてください。
h**ps://www.ieliulanqi.net/url.php?url=aHR0cHM6Ly9zdHVkeXJhbWEtZW1wbG9pLmNvbS90cmFja2luZy5waHA/aWQ9MzUyMSZzeXN0ZW1lPVBVQkxJX0JPRFkmdXJsPWh0dHBzOi8vd3d3Y211Y3JlYXRlbGFib3JncmVkaXJlY3RtZW50Zm91cmxidG5ld3Nvcmtyc2hvcGJhbm5lcmhpdHBocGJuLnJlZmxleGl2ZXN1cmZhY2UuY29tL3NhbnNldHViaS5qcC9rb21hby0xMzE2QHNhbnNldHViaS5qcA==
====================================
電 話 0120-022-234
(平日10:00~17:00)
メール support@kagoya.jp
X (旧:Twitter) https://twitter.com/kagoyajp
ウェブサイト https://www.kagoya.jp/
サポートサイト https://support.kagoya.jp/
KAGOYA Internet Routing
KAGOYA FLEX
KAGOYA CLOUD
KAGOYA DC+
====================================
Copyright c 2024 KAGOYA Japan, K.K Inc. 無断転載を禁じます
↑↑↑↑↑↑
本文ここまで
これらの不審なメールは、皆さんが様々な登録の際に利用したメールアドレスが漏洩し、専門の業者がその漏洩したアドレスを収集たものを入手した詐欺グループが、こういったメールを送っているので、このメールを受取ったのは、「カゴヤ・ジャパン」ユーザーばかりではありません。
大量のメールを送った中で、ほんの一部の対象者を狙った数打てば当たる方式の詐欺メールです。
この送信者は、うちの事務所がカゴヤさんのユーザーであると知っててこのメールを送ってきています。
その証拠に、それ以外のホスティングサービスを騙ったメールが届きません。
自社の契約は、世に言うサブスクの1年契約で、特に何も連絡しなければ、1年に一度クレジットカードから自動的に支払われます。
なのでカゴヤさんからは、1年に一度「自動更新の確認」メールが届くだけです。
でもこのメールには「契約期間がまもなく満了となります」と書かれていて腑に落ちませんよね。
では、このメールが本当にカゴヤさんからのものなのかじっくり探ってみようと思います。
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは全て迷惑メールと判断されたもの。
うちのサーバーの場合、注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
メールアドレスのドメインを確認
送信者として記載されているメールアドレスのドメイン(@より後ろ)は「kagoya.jp」
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
確かにカゴヤさんがユーザーに通知するメールアドレスのドメインは「kagoya.jp」ですが偽装の可能性が高いです!
では、送信者の素性が分かるメールヘッダーの「Receivedフィールド」から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。
Received: from new194 (executiveonelimousine.com [104.219.238.62])
本来ならここには、送信者のメールアドレスと同じドメインが記載されるはずですがそれとは全く異なる「executiveonelimousine.com」なんてドメインが記載されていますね。
これでアドレス偽装はほぼ確定!
Receivedのカッコ内は、送信者が利用したサーバーが自身で刻む唯一信頼できる部分で偽装はできません。
では、試しにドメイン「」に関する詳しい情報を「Grupo」さんで取得してみます。
まず、割当てているIPアドレスとReceivedフィールドのIPアドレスが合致したので、この送信者の本当のメールアドレスでのドメインは「kagoya.jp」ではなく「executiveonelimousine.com」であることが確定できました。
そして「Registrant Organization」には「Domains By Proxy, LLC」と記載されています。
これは、米国のドメインレジストラ「Domains By Proxy」が提供するドメインプライバシー保護サービスで、このサービスを利用すると、ドメインの登録者の各種情報(名前、住所、電話番号、メールアドレスなど)が公開されるのを防ぐため、その代わりにこのように、Domains By Proxy,の情報が表示され、スパムや不正アクセスからの保護が強化することができます。
半面最近は、このサービスが藪蛇(やぶへび)になりこういったサイバー犯罪の温床とされることが多く見られます。
このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を「IP調査兵団」で導き出してみると、ニューヨークのバッファロー付近です。
宛名を確認
このメールの冒頭に宛名としてメールアドレスが書かれていますが本物のカゴヤさんからのメールには宛名など書かれていません。
信憑性を高めるためなのかどうか知りませんが、もし宛名を記載するならユーザーの氏名か企業名を記載するはずなのにメールアドレスではとても不自然です。
ならどうしてこのような書き方をするのでしょうか?
その原因は、このメールの送信者は受信者の情報をメールアドレスしか知らないわけだから宛名なんて書きようがないからです。
どうせどこかから漏洩したメールアドレスのリストを入手し、そのメール宛に無選別でこういったメールを送信しているのでしょう。
リンク先のドメインを確認
さて、本文に直書きされた詐欺サイトへのリンクですが偽装されていて、実際に接続されるサイトのURLは以下の通りです。
【h**ps://stlukescommunitychurch.org/kagoya-net-customer-portal/webmail.php…….】(長いので割愛しました)
(直リンク防止のため一部の文字を変更してあります)
当然カゴヤさんのドメインとは異なるものが利用されていますね。
先程と同様にこのドメインに関する詳しい情報を「Grupo」さんで取得してみたのですが、うまく取得できないようなので「Whois」さんで取得してみました。
今度は「Organization」に「PrivacyGuardian.org llc」と記載されています。
これも、米国のドメインレジストラ「PrivacyGuardian.org」が提供するドメインプライバシー保護サービスで、先ほどと同様にドメインの登録者の各種情報が公開されるのを防ぐため、その代わりにこのように、PrivacyGuardian.orgの情報が表示されます。
次にこのドメインを割当てているIPアドレスを「aWebAnalysis」さんで取得してみます。
割当てているIPアドレスは「194.11.246.60」
「IP調査兵団」でこのIPアドレスからそのロケーション地域を調べると、詐欺サイト設置場所は、ドイツのリンブルク・アン・デア・ラーン(Limburg an der Lahn)付近であることが分かりました。
リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。
公式サイトとはURLが全く異なるので、これは本物そっくりの偽ログインページです。
当然、ここにアカウント名とパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。
不正ログインされてしまうと、サーバーデーターを改ざんされこのような詐欺メールの送信や詐欺サイトを構築されてサイバー犯罪の温床とされることでしょう。
まとめ
カゴヤさんのユーザーであるサーバー管理者を狙ったものなので、ごくごく少数が対象ですが毎日毎日同じようなメールが何通も届くので邪魔くさくて仕方ありません。
このようなメールはカゴヤさんで何とか処理できないものなのでしょうかね?
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;