『詐欺メール』「リンクに従ってサービスをアップグレードしてください」と、来た件

送信時刻に”+0000”とあるのは何？

うちの社を騙った迷惑メールをうちの社の代表メールアドレスに送ってくる輩がいる！

何じゃこれ？

差出人が「うちのドメイン名 管理者」になってて、宛先は社の代表メールアドレス。

文面はこうなっています。

平素は 【うちのドメイン名 ネット】 インターネットサービスをご利用いただき誠にありがとうございます。 サーバーのメンテナンスを実施しています。 以下のリンクに従ってサービスをアップグレードしてください https://activemail.kagoya.com.evenofficial.site/ activemail.kagoya.com.evenofficial.site ©1998 QUALITIA CO., LTD. All Rights Reserved.

これじゃうちの会社がレンタルサーバーでもやってるみたいじゃない？！

件名は「【バージョンアップ】メンテナンス作業のお知らせ 1/31/2021, 08:02:14 PM 」
時刻スタンプ付いてます。
でも、メーラーが表示してる受信時刻は今日(2021年02月01日13:02)
で、メールの送信日時が「Mon, 01 Feb 2021 04:02:14 +0000」
どれが本当の時刻やねん！
件名のスタンプはどーでも良いとして、受送信時刻の差は差出人との時差だろうか？
それとも何かの偽装だろうか？
送信時刻が受信時刻の9時間前。
-9時間と言えばイギリスかな？
あっ、イギリスで時刻と言えばグリニッジだ。
そうか、ついつい考えすぎてしまったけど、末尾に”+0000”って書いてあるのはメール送信時刻が
グリニッジ標準時刻だということを表してるんだ。

メールの送信元はアメリカだった

まぁそれはほんとどーでも良いこと。
趣旨はこのメールの内容。

差出人のメールアドレスは「tori@aa.alles.or.jp」
このドメインは「アレスネット」というプロバイダーが所有しているもの。

こういったメールの差出人が素直に自分のメールアドレスなんて使うはずもないので
きっとこのアドレスはただの偽装。
そう、この「アレスネット」さんもある意味被害者です。

これはこのメールのヘッダーソースの一部

エラー時の返信先であるReturn-Pathも「tori@aa.alles.or.jp」となっています。
が、大事なのは”Received”フィールドと呼ばれる差出人の送信サーバー情報。
これは差出人が利用したメールサーバーが勝手に記載する部分。
これによると、「20.46.119.48」ってのがそのサーバーのIPアドレスです。
このIPアドレスをとあるサイトで検索をしてみますと…

アメリカと出ました。
日本のプロバイダーさんの「アレスネット」がそんな遠くてメンテのしにくいところに
メールサーバーなんか置きますかね？(笑)

ウェブサーバーもアメリカに

このメールの趣旨はと言えば、なんだか知りませんがレンタルサーバーをメンテンナンス
下からサーバーにログインをしてアップグレードしろと言うことみたいです。

言っときますけど、どこのレンタルサーバーがメンテしたからユーザー側でアップグレード
しとなんて言ません。

それにリンク先のドメインにあるの”kagoya”の文字。
「カゴヤジャパン」さんのユーザも標的にしているんでしょうか？
と言うか、ひょっとして「カゴヤジャパン」さんのユーザを標的にしているんですね？！

うちの会社がレンタルサーバーで、「アレスネット」さんはもう無かったことになってるし
もう、何が何だか…めちゃくちゃじゃん(汗)

実際につながるんだろうかと、リンクをクリックしてみると…

これ、メールサーバーのコンパネログイン画面。
もちろん完コピサイトですけど。
ここでサーバーのログインアカウントを盗み取る仕業ですね。

これはこのドメインの情報。

申請はパナマの企業が行っており現在は「68.65.122.157」ってIPのもと
所在はアメリカにあるようです。

そして”とどのつまり”が末尾の署名にこの会社名が。

「QUALITIA」さんもウェブを使った色々なツールを開発しレンタルしてる会社さんだよね。
もしかしてこれも嘘？　それともここのメールシステムを介して迷惑メールを配信してるの？

もしこれも騙りだったら何社騙ってるの？　質が悪い！！

たぶんこんなメールはサーバー管理者を騙そうとしてるので一般の方々には送ってないはず。
こんなことしてサーバー乗っ取って何が楽しい？