『詐欺メール』KAGOYAさんから「電子メールのセキュリティ」と、来た件

別アカウント宛に2通

これ、あまり一般には送られてきてないであろうと思われる迷惑メールの類。
忘れた頃にちょいちょい送られてくるKAGOYAのサーバー管理者を標的にしている質の
悪いものです。

下のようなメールが別々に2つのアカウント宛に届いていました。

受け取ったのは事務所の代表アドレス”info@”と実在しない”admin@”アカウント。
まぁ、どちらもありがちなアカウントですがうちは”admin@”を作っていないので
迷子になってサーバーに残されていました。

差出人は「KAGOYA <info@navitec.jp>」
”navitec.jp”というドメインは実在するようですが偽装の可能性もあり、このドメインの
持ち主も別の意味で被害者かもしれませんがどうでしょうか…

件名は「電子メールのセキュリティ」
何のこっちゃ・・・
電子メールのセキュリティがどうしたのかわからない件名。
こういった伝わらない件名の場合は悪意のあるメールが多いように思われます。

ヘッダーソースを調べると

こちらはこのメールのヘッダーソースの一部です。

この中で気になるのは以下の行。

”Received”ってのはメールが通過してきたサーバーが勝手に刻み込む情報で
4つの数字の羅列がそのサーバーのIPアドレスを示すもの。

”mxsv05.wadax.ne.jp”と”sv42.wadax.ne.jp”ってドメインは「WADAXレンタルサーバ」さんの
持ち物ですね。
それぞれのIPアドレスの所在地を確認しても当然どちらもこの位置が検索されます。

先ほどの差出人に書かれてた”navitec.jp”ってドメインとの関連性が気になったんで勝手に
ちょっとだけ調べさせてもらうと。

ありゃ・・・　赤枠で囲ったところ見てください(汗)

先程のこのドメインとIPも一緒です。
ということは、この”navitec.jp”はまんざら関係ないとは言えなさそうですね…
まぁ詮索はこの辺にしておきます。

リンク先はどうなってる？

このメールの内容は、迷惑メールフォルダに隔離された新着メッセージが1通あり
このメールがもしかして間違って迷惑メールと判断されてるかもしれないので
リンクからたどって確認してほしいって内容です。
KAGOYAさんに限らずメールに関する設定やWebメーラーは契約したサーバーの
コントロールパネルから接続されます。

これがメールに書かれてるリンク先のURL

KAGOYAさん場合は、「ActiveMail」っていうWebメールで様々な設定を行いますが
もちろんそのURLのドメインはKAGOYAさんのドメイン。
でもこのリンク先URLのドメインは”similarcouncil.com”
これが本当にKAGOYAさんから送られてきたメールで本当に確認を促すものであれば
ここのリンクURL先のドメインはKAGOYAさんのドメインであるはず。
なのになぜ全然知らないドメインにあるメールサーバーに行く必要があるのかという
疑問がわいてきます。

つないでみるとActiveMailのログイン画面と瓜二つの完コピページが表示されました。

ユーザーIDとパスワードを入力しログインボタンを押すときっとKAGOYAさんの正規サイトが
開く手筈でしょう。
騙された方はこの時点で万事休す。
管理者アカウント情報を抜かれたんでサーバーが乗っ取られ荒らされることになるでしょうね。

このリンク先に使われてた”similarcouncil.com”ってドメインも少し調べてみます。

残念ながらドメイン登録者に関する詳しい情報は取得できませんでしたが、現在このドメイン
が使われている所在地はアメリカのネバダ州判明しました。
なので、先ほどの偽サイトはここに設置されたWebサーバーで動いているものと思われます。

このようなメールは一般ユーザーには送られてこないものと思いますが、騙されてしまうと
サーバーが乗っ取られサイトの改ざんやメールアカウントを操作され大変な被害を受けること
となりますのでサーバー管理者さんは要注意です！！