『詐欺メール』「【バージョンアップ】メンテナンス作業のお知らせ」と、来た件

フラワービデオって？！

気が付けば詐欺メール関係の記事が今回で395エントリーといよいよ400エントリー間近と
なってきました。
それだけブラックメールが多いってことを物語っていますね。

さて、今回ご紹介したいのがこちらのメール。

また、サーバー管理者を標的とした悪意のあるメールです。

差出人は「Kagoya サーバー管理者 <info2w@flowervideo.jp>」と記載されています。
「KAGOYA」とは、大手レンタルサーバー会社さんで、このメールはサーバー管理者を標的に
した詐欺メール。
でも、差出人を「KAGOYA」と名乗っておきながらアドレスが”info2w@flowervideo.jp”
とはおかしなものですね…
だって大手のレンタルサーバー会社なんて確実に自社ドメイン持ってるんだし、その会社が
全く関係のないメールアドレスを使ってユーザーにメールを送るはずがありません！
因みに”flowervideo.jp”をたどってみると「フラワービデオ」と言う映像制作会社に接続
されました。
もちろん、偽装されていることでしょうからこの「フラワービデオ」さんも被害者です。

では、このメールの送信元を調べてみましょう。

Received: from sv118.wadax.ne.jp (sv118.wadax.ne.jp [211.1.229.194])

差出人は「”info2w@flowervideo.jp”」となっていましたが、ここにはホスト名が
”sv118.wadax.ne.jp”と記載されており、そのIPアドレスは”211.1.229.194”とされています。

このIPアドレスを調べてみました。

 WADAXレンタルサーバさんが取得しているIPアドレスですね。

件名は「【バージョンアップ】メンテナンス作業のお知らせ 3/31/2021 3:30:16 a.m.」と
書かれています。
「KAGOYA」さんからとすればサーバーがメンテナンスを行うアナウンスですね。
末尾のタイムスタンプは信ぴょう性を持たせるために適当に書き込んだものと
思われます。

偽の”Active Mail”へ誘導

では、引き続き本文です。

相変わらず意味が解りませんね。
サーバーのメンテナンスでなぜユーザーのメールアドレスが削除されなければ
ならないのでしょうか？
そしてなぜユーザー側がアップグレードなんて作業をしなければならいのでしょうか？
基本、アップグレードなんてユーザーが手を下すことではなくサーバー運営者が
事前に告知を行った上で深夜に作業を行います。
けしてユーザー側にメンテナンスを促すことなど絶対にありません。
もっとも、こうしないとここに書かれてるURLに誘導できないから敢えてこうして
いるんでしょうけど…

これが誘導先のURLです。

"https://cp.kagoya.net.parallexprogrammers.com/"

接続してみると、Webメーラーのログイン画面が表示されます。

ここで注意しなければならないのが使われているドメイン。
ついつい”cp.kagoya.net”ってところに目を奪われてしまいがちですが、このURLの実際の
ドメインは”parallexprogrammers.com”って部分。

このドメインも調べてみましょう♪

このドメインは”198.54.114.236”ってIPアドレスに割り当てられており、そのIPアドレスは
アメリカの西海岸にあるロスアンゼルス付近にあると思われます。

接続してみると、表示されるのは”Active Mail(アクティブメール)”というWebメーラーの画面。
実際に「KAGOYA」さんのメールサーバー管理は、これと全く同じ”Active Mail”の
コントロールパネルで行います。
もっともこのページはユーザーアカウント情報を抜き取るために作られた偽物ですが(汗)

どうやら、これと同じような件名で「KAGOYA」さん以外のレンタルサーバーにも
このようなフィッシング詐欺メールが多発しているようで、その宛先はドメインに
”info”や”admin”のようなサーバー管理者が付けがちなアカウント名にして
送ってくるようです。

その証拠にうちのサーバーには存在しない”admin”アカウントにも同じ内容のメールが
送られてきています。

というわけでこのメールは、漏洩した個々のメールアドレスを標的にしたものではなく
自社ドメイン名をもとにしたものと考えられますね。