[解析結果] KAGOYAを騙る詐欺メール「最後の警告」の通信経路を特定
【調査報告】最新の詐欺メール解析レポート
メールの解析結果:KAGOYAを騙るフィッシング詐欺 |
| ■ 最近のスパム動向 |
今回ご紹介するのは「KAGOYA」を騙るメールですが、その前に最近のスパムの動向について解説します。2026年現在、確定申告や新生活の準備時期を狙い、ホスティングサービスやインフラ事業者を装った「アカウント停止」を予告する脅威が急増しています。特にAWS等のクラウドサービスを踏み台にし、正規のIP帯域から送信することで検知を回避する手法が主流となっています。
|
| ■ 受信メール基本データ |
| 件名 |
[spam] 重要:KAGOYAからの最後の警告 |
| 件名の見出し |
件名に「[spam]」が含まれているのは、サーバーの学習機能により迷惑メールの統計パターンに一致したことを示しています。 |
| 送信者 |
“KAGOYA Japan Support Center" <no_reply@ abc.co.jp> |
| 送信者分析 |
送信者アドレスが受信者自身のドメイン(abc.co.jp)となっており、受信者のメールアドレスを盗用してなりすましています。 |
| 受信日時 |
2026-02-27 12:42 |
| ■ メール本文の再現(解析用データ) |
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
|
拝啓 6@ abc.co.jp
お客様のアカウントの安全性と最大限の保護のため、ご依頼いただいたメールアカウントの確認ができませんでした。メールアカウントが予期せず停止されることのないよう、今すぐメールアカウントの確認を完了してください。
今すぐアカウントを確認するにはクリックしてください
よろしくお願いいたします
KAGOYA Japan セキュリティチーム
Copyright © 2026 KAGOYA Japan, K.K. Inc. All rights reserved.
|
|
| ■ 専門的解析と犯人の目的 |
【犯人の目的】
このメールの目的は、カゴヤのウェブメールサービス「Active!mail」のログイン情報を盗み出すことです。盗んだアカウントは、さらなるスパム送信の踏み台や、社内情報の窃取に悪用されます。
【メールデザインの怪しい点】
本文が短く、具体的な理由がないまま「停止」を予告して不安を煽っています。また、宛名がメールアドレスのローカルパート(6@)のみとなっており、顧客氏名を把握していないことが明らかです。全体的にあっさりして素っ気ない、偽物特有の不自然さがあります。
|
| ■ Received:送信元回線解析 |
| 解析ホスト |
EC2AMAZ-D9RTVDA (ec2-52-199-228-42.ap-northeast-1.compute.amazonaws.com) |
| 送信元IP |
52.199.228.42
(信頼できる送信者情報より抽出) |
| ホスティング |
Amazon Data Services Japan (AWS EC2) |
| 設置国 |
日本 (Japan) |
| ドメイン分析 |
送信者ドメイン「sansetubi.jp」と送信元IPの逆引きホストが一致しません。AWSの動的IPを悪用した偽装送信です。 |
| 詳細解析 |
https://ip-sc.net/ja/r/52.199.228.42 |
| ■ リンク先ドメイン・サイト解析 |
| 誘導URL |
hxxps://au-activemail-kagoya-jp.com/imail/login.html#6@acb.co.jp
(一部伏せ字を含みます) |
| リンク先IP |
103.204.170.155 |
| ホスティング |
Netmagic Solutions (NTT Global Data Centers) |
| 設置国 |
インド (India) |
| ドメイン登録日 |
2026-02-25
(ドメイン取得からわずか2日。攻撃専用に用意された使い捨てドメインと判断できます。) |
| サイト状態 |
稼働中
(ウイルスバスター等のブロックをすり抜ける新設URLのため非常に危険です) |
| 詳細解析 |
https://ip-sc.net/ja/r/103.204.170.155 |
| ■ 潜入調査:リンク先詐欺サイトの画像 |
| 【偽のActive!mailログインページ】
本物のカゴヤのログイン画面を完全にコピーしていますが、URLが公式サイトとは一切無関係です。 |
| ■ まとめ・推奨される対応 |
【危険なポイントと注意点】
過去の事例と比較しても、カゴヤのドメイン(kagoya-jp.comなど)を巧妙に含めた新設ドメインを使用しており、一見しただけでは偽物と気づきにくい作りになっています。しかし、送信元がAWSであること、リンク先がインドのサーバーであることなど、公式サイトではあり得ない構造が明確です。
【推奨対処法】
- メール内のリンクは絶対に開かないでください。
- 宛名が不自然(メールアドレスの使い回し)な場合は詐欺を疑ってください。
- 公式サイトの注意喚起を必ず確認してください。
カゴヤ・ジャパン公式:フィッシングメールに関する注意喚起
|
|