『詐欺メール』「KAGOYA云更新通」と、来た件

どれだけのサーバーを巡ってきたの？

またまた、レンタルサーバーの「KAGOYA」さんを騙った成りすまし詐欺メールです。
それも中国語直書きってのは、どー言うことですか…(^^;

これは”admin”アカウント宛のメール。
うちのドメインに”admin”アカウントは存在しないためでサーバーに迷子として残ってました。

そしてこちらは、”info”アカウント宛のものをThunderbirdで受信したもの。

どちらも差出人は同じで「KagoyaCLOUD <yamaguchi@auc-cop.co.jp>」
「KAGOYA CLOUD VPS」って「KAGOYA」さんが実際に提供するサービスですね。
でも”auc-cop.co.jp”ってドメインは「オークコーポレーション」っていう企業さんの
持ちもので「KAGOYA」さんいんは全く関係のないもの。
何の罪もないこの企業さんもある意味被害者です。

件名も同じで「KAGOYA云更新通知」
なんとなく意味は伝わりますが、あからさまに日本語じゃありません…

差出人が使ったメールサーバーのホスト情報はメールヘッダーの”Received”からおおよそ
取得することができます。
このメールのヘッダーを確認してみるとこのような情報が取得できました。

”Received”はサーバーを通過する毎にそのサーバーが自動で刻むホスト情報です。
このメールヘッダーを見ると、”Received”が実に9つ。
と言うことは、このメールは私の手元に届くまで9つのサーバーを通過してきたということ！
はるばると、ご苦労さんなことです(^▽^;)

そして一番最初に記載された”Received”が差出人が利用したメール送信サーバーが残した
”Received”です。
このヘッダーの場合はこちらの行になります。

Received: from c15jrb9r.mwprem.net (c15jrb9r.mwprem.net [153.149.179.214])

”153.149.179.214”ってIPアドレスが割り当てられてる”mwprem.net”というドメインを
利用しているホストが最初のメールサーバーの情報。
これをもとにサーバーの位置を紐解いていきます。

このIPアドレスをとあるサイトで検索を掛けてみると…

このメールの最初の一歩は東京都港区と出ました。
犯人はこの位置に置かれたメールサーバーを使って詐欺メールを送ったことになります。

中国語メールをドイツから送信

本文も見てください。
全く隠さずに中国語を直接書いて送ってきています。

機械翻訳で直訳してみると。

「KAGOYA」さんは歴史のある町の京都に本社を置くれっきとした日本の企業。
なのになぜ中国語の直書きしたメールをユーザー宛に送ったのでしょうか？
さっぱりわかりません…

いつも「KAGOYA」さんを騙った成りすましメールは飾りのない味気ないものです。
なので詐欺サイトへのリンクもリンクを直書きで送ってきます。
このメールの場合は、こんなURLが記載されていますね。

確かに”kagoya.com”とあるのでついつい「KAGOYA」さんかな？と思いがちですが
このURLのドメインは”kagoya.com”じゃなくて”ibeler.de”の部分。
例によってこのドメインも調査してみました。

ドイツのデュッセルドルフって街が表示されました。
ここに住んでいる奴が差出人ってことではありませんのであしからず…
先程のリンク先Webサイトを運営しているサーバーがこの町に設置されているということです。
極端な話、言葉さえわかればサーバーなんて全世界どこでもレンタルできますからね！

さて、サイトですが、接続してみると早速ログイン画面が表示されました。

ここを入力してしまうと当然そのアカウント情報は差出人に取得されてしまいます。
取得されるのはレンタルサーバーアカウントなので、サイトの改ざんやメールアカウント操作
など様々な悪意を働くことが安易に想像できます。
今回のメールはサーバー管理者を標的としたもので、一般の方宛に送られてくることは
ありません。
送っても仕方ありませんからね。

でも、日本のレンタルサーバー会社を成りすましているのに中国語のメールとはねぇ…