『詐欺メール』KAGOYAから「【サーバーアップグレード】メンテナンス作業のお知らせ」と、来た件

うちってレンタルサーバー屋でした？

時々来る、レンタルサーバーのKAGOYAさんに成りすましサーバーメンテナンスを騙った
迷惑メール。

先程久しぶりにこんな感じのが届きました。

さもうちの事務所がレンタルサーバーを営んでるみたいに、ぼかしてあるところは全てうちの
事務所のドメインが入っています。

件名は
「【サーバーアップグレード】メンテナンス作業のお知らせ（2021年10月8日）」
気付けば、いつもサーバーが付加してくれる注意喚起の”[spam]”ってスパムスタンプが
付いてない(汗)

差出人は
「KAGOYA サーバー管理 <info@mus-nh.city.osaka.jp>」
KAGOYAと謳っておきながらメールドメインが”mus-nh.city.osaka.jp”
本当にKAGOYAさんならメールのドメインは”kagoya.com”のはず。
因みに”mus-nh.city.osaka.jp”ってドメインは「大阪ドメイン」ってところが取得している
ドメイン。

ではこのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

このIPアドレスに”mus-nh.city.osaka.jp”ってドメインが割当てられていればこの差出人の
メールアドレスに偽りはなかったことになりますが。

ではこのIPアドレスを使ってその情報を拾ってみましょう！

”リモートホスト”にそのままIPアドレスが記載されているので、このドメインは違う
IPアドレスに割当てられているようですね。
じゃ、逆に”mus-nh.city.osaka.jp”はどんなIPアドレスに割当てられているのでしょうか？

全くかすりもしないIPアドレスが表示されました。

差出人のIPアドレス”52.175.143.52”は、どこで使われているのでしょう？
早速調べてみました。

あくまでおおよその位置ですが、大阪の難波付近が表示されました。
このメールの差出人は、少なくとも大阪になるメールサーバーを使って私にメールを送って
来たことになります。

目的はサーバー乗っ取り

では、本文です。

要は、サーバー側で特定のメールアドレスに削除のフラグが付けられていますと。
記載されたリンクをたどって、サービスをアップグレードしろって内容です。

記載されているURLに使われていたドメインは”karaincirevleri.com”ですが
接続してみると、リダイレクトされ”aboundinggracecc.org”ってドメインを使った
”Activemail”ってメールサーバーのコンパネログインページに飛ばされました。
もちろん偽物ですが。

ま、これ、こいつらのいつものパターンなんですがね。

では”aboundinggracecc.org”について調べてみましょう。

ドメインの持ち主は、アメリカ・アリゾナ州にお住みの方。

では”aboundinggracecc.org”を割当てているIPアドレスの所在はどこにあるんでしょうか？

調べてみると「アメリカ・ミシガン州・ウェイブリー」が表示されました。
先程の”Activemail”の偽サイトはここで運営されているようです。

まとめ

いちいちログインして確かめてはいませんが、今までのパターンだとIDとパスワードを
入力するとKAGOYAさんのトップページに飛ばされるはず。
奴らはこちらのIDとパスワードが欲しいだけだからこれで目的は完了。
そして、そのIDとパスを使ってKAGOYAさんにある内のコンパネにログインし乗っ取った上
既存のメールアドレス削除やウェブサイトの改ざんなどの悪行を行うのです。
ほんと悪い奴らだ！

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;