サイトアイコン HEARTLAND

『詐欺メール』「【バージョンアップ】メンテナンス作業のお知らせ」と、来た件

管理者が付けがちなアカウントを標的
!ご注意!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介ししています。
このようなメールを受け取っても絶対に本文中にあるリンクをクリックしないでください!
リンクは当該サイトを装った偽サイトへ誘導で、最悪の場合、詐欺被害に遭う可能性があります。
ですから絶対にクリックしないでください!
どうしても気になると言う方は、ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするように心掛けてください!

フラワービデオって?!

気が付けば詐欺メール関係の記事が今回で395エントリーといよいよ400エントリー間近と
なってきました。
それだけブラックメールが多いってことを物語っていますね。

さて、今回ご紹介したいのがこちらのメール。


また、サーバー管理者を標的とした悪意のあるメールです。

 

差出人は「Kagoya サーバー管理者 <info2w@flowervideo.jp>」と記載されています。
「KAGOYA」とは、大手レンタルサーバー会社さんで、このメールはサーバー管理者を標的に
した詐欺メール。
でも、差出人を「KAGOYA」と名乗っておきながらアドレスが”info2w@flowervideo.jp”
とはおかしなものですね…
だって大手のレンタルサーバー会社なんて確実に自社ドメイン持ってるんだし、その会社が
全く関係のないメールアドレスを使ってユーザーにメールを送るはずがありません!
因みに”flowervideo.jp”をたどってみると「フラワービデオ」と言う映像制作会社に接続
されました。
もちろん、偽装されていることでしょうからこの「フラワービデオ」さんも被害者です。

では、このメールの送信元を調べてみましょう。

Received: from sv118.wadax.ne.jp (sv118.wadax.ne.jp [211.1.229.194])

差出人は「”info2w@flowervideo.jp”」となっていましたが、ここにはホスト名が
”sv118.wadax.ne.jp”と記載されており、そのIPアドレスは”211.1.229.194”とされています。

 

このIPアドレスを調べてみました。

 WADAXレンタルサーバさんが取得しているIPアドレスですね。

 

件名は「【バージョンアップ】メンテナンス作業のお知らせ 3/31/2021 3:30:16 a.m.」
書かれています。
「KAGOYA」さんからとすればサーバーがメンテナンスを行うアナウンスですね。
末尾のタイムスタンプは信ぴょう性を持たせるために適当に書き込んだものと
思われます。


偽の”Active Mail”へ誘導

では、引き続き本文です。

[Kagoya Net]インターネットサービスをご利用いただきありがとうございます。

サーバーのメンテナンスを行っています。

あなたのメール info@*****.*** は削除のマークが付けられています

以下のリンクをたどって、サービスをアップグレードしてください

https://cp.kagoya.net.parallexprogrammers.com/

Copyright(C)2019 KAGOYA Co.、LTD。全著作権所有。 ..

相変わらず意味が解りませんね。
サーバーのメンテナンスでなぜユーザーのメールアドレスが削除されなければ
ならないのでしょうか?
そしてなぜユーザー側がアップグレードなんて作業をしなければならいのでしょうか?
基本、アップグレードなんてユーザーが手を下すことではなくサーバー運営者が
事前に告知を行った上で深夜に作業を行います。
けしてユーザー側にメンテナンスを促すことなど絶対にありません。
もっとも、こうしないとここに書かれてるURLに誘導できないから敢えてこうして
いるんでしょうけど…

 

これが誘導先のURLです。

"https://cp.kagoya.net.parallexprogrammers.com/"

接続してみると、Webメーラーのログイン画面が表示されます。

ここで注意しなければならないのが使われているドメイン。
ついつい”cp.kagoya.net”ってところに目を奪われてしまいがちですが、このURLの実際の
ドメインは”parallexprogrammers.com”って部分。

このドメインも調べてみましょう♪


このドメインは”198.54.114.236”ってIPアドレスに割り当てられており、そのIPアドレスは
アメリカの西海岸にあるロスアンゼルス付近にあると思われます。

接続してみると、表示されるのは”Active Mail(アクティブメール)”というWebメーラーの画面。
実際に「KAGOYA」さんのメールサーバー管理は、これと全く同じ”Active Mail”
コントロールパネルで行います。
もっともこのページはユーザーアカウント情報を抜き取るために作られた偽物ですが(汗)


どうやら、これと同じような件名で「KAGOYA」さん以外のレンタルサーバーにも
このようなフィッシング詐欺メールが多発しているようで、その宛先はドメインに
”info””admin”のようなサーバー管理者が付けがちなアカウント名にして
送ってくるようです。

その証拠にうちのサーバーには存在しない”admin”アカウントにも同じ内容のメールが
送られてきています。

というわけでこのメールは、漏洩した個々のメールアドレスを標的にしたものではなく
自社ドメイン名をもとにしたものと考えられますね。



こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!

そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了