『詐欺メール』「【重要】2021年10月21日水曜日のサービス復旧の通知」と、来た件

2021年10月22日2021年10月23日

レンタルサーバーを騙る不届き物

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

1. レンタルサーバーなのに自社ドメインじゃないって？！
2. スパムフィルターさぼりがちな今日この頃…
3. メールはさいたま市発信
4. IT企業がプロトコルが”https”ではなく”http”？！
5. おいおい、詐欺サイトは掛け持ちかよ！
6. まとめ

レンタルサーバーなのに自社ドメインじゃないって？！

本日2本目のエントリーはレンタルサーバー会社「カゴヤ・ジャパン」に成りすまして、
アカウント情報を盗み取ろうとする手口の詐欺メールです。

「カゴヤ・ジャパン」さんは大手のレンタルサーバー会社。
それなのに、見てお分かりの通りメールアドレスやリンク先サイトのURLにも
カゴヤさんとは全く関係の無いドメインが使われています。
大手レンタルサーバーたる企業が自社のドメインを使わないっておかしいですよね？
ここで”ピン！”とこなきゃ騙されるのは必然ですぞ！(笑)

スパムフィルターさぼりがちな今日この頃…

では、プロパティーから見ていきます。

件名は
「【重要】2021年10月21日水曜日のサービス復旧の通知」
あれあれ？
今回も前のと同じように”[spam]”ってスパムスタンプ付いていないですね。。。(汗)
ちょっと最近うちのサーバーのスパムフィルターさぼり過ぎじゃない？？
「2021年10月21日水曜日」っておとといだけど…
件名には「サービス復旧の通知」って書いてあるのに、本文はメンテナンス中って…
つじつまが合わないけどどういうこと？？
まぁ、すべてが嘘だからどーでも良いねどね。(笑)

差出人は
「”KAGOYA” <y-toyota@wrisolution.co.jp>」
当然差出人は、うちが「カゴヤ・ジャパン」のユーザーだと知ってて送ってきています。
その割には、差出人のメールアドレスのドメインがカゴヤさんのものじゃないってのは
少々間が抜けてはいませんかね？(笑)
せっかくならカゴヤさんのドメインを偽装しておけば良かったんじゃないの？

メールはさいたま市発信

では、このメールのヘッダーソースから様々な情報を確認していきましょう。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<y-toyota@wrisolution.co.jp>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<9020b533-4dcd-cf7b-e22d-56fc45f4f4f9@wrisolution.co.jp>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from [127.0.0.1] (unknown [52.253.106.27])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！

脅威レベルは「低」ながら少なからず危険なIPアドレスらしいです。
おおよそですが、割り当て地はさいたま市とされています。
これは、差出人がさいたま市に居ることではなく、差出人が利用したメールサーバーの
位置を示していますので悪しからず。

IT企業がプロトコルが”https”ではなく”http”？！

そして本文。

お客さま各位

2021年10月22日火曜日
カゴヤ・ジャパン株式会社

平素は【KAGOYA】インターネットサービスをご利用いただき誠にありがとうございます。

サーバーのメンテナンスを実施しています。

サービスの詳細は以下のURLをご参照ください。

まあそれらしく書かれていますね。
気になるのはこの後ろにあったリンク先。
そのURLがこちらです。

あれ？レンタルサーバーを騙ってるのにプロトコルが”https”ではなく”http”？？
レンタルサーバーを営むIT企業がそんなセキュリティの甘いサイト作るはずないじゃん！(笑)

ここに使われている”kagoya.net.a2zvideolyrics.com”ってドメイン。

誰が持ち主なんでしょうか？

持ち主は「インド・デリー」在住の方。
このドメインを割当てているIPアドレスは”134.209.37.206”
ではこのIPアドレスを使って、その割り当て地を調査します。

結果は「アメリカ・ニューヨーク州・マンハッタン」
もちろん位置情報はおおよそです。

おいおい、詐欺サイトは掛け持ちかよ！

そのリンク先に繋いでみると…

メールサーバー管理のActiveMail画面ですね。
あれ？ちょっと待ってください。
よく見ると、タブには「ATWインターネットサービス」って別のレンタルサーバー会社が…
ああ、もしかしてこれ、他のレンタルサーバー会社も標的にしているんでしょう？
なんだ掛け持ちかい！

えっ、それにURLがさっきのとしれっと変わってるじゃん。
そうか、繋いですぐにリダイレクトされて別サイトに飛ばされたんですね。

また仕事が増えました。。。
このサイトのURLも確認してみます。

全然違うじゃん…カゴヤの”カ”の字も入っていないし…

では、面倒ですがこのドメインも持ち主と割り当て地を確認してみましょう。

これによると、持ち主は「インド・ハリヤナ州・グルガーオン」に在住の方と出ました。

割り当て地は、先程と同じ「アメリカ・ニューヨーク州・マンハッタン」

リダイレクトする意味あったんだろうか？

まとめ

あー疲れた。
リダイレクトされると調査が1つ分増えてしまう…
そう言えば、このエントリーを書いてる最中にも全く同じメールがもう1通届きました。
この差出人は、私が「カゴヤ・ジャパン」さんのユーザーだと知ってて送ってきています。
当然他のユーザーにも送ってることでしょうし、きっと「ATWインターネットサービス」さん
のユーザーにもたっぷり送っていることでしょう。
それにしても、なぜユーザー名簿が漏洩したんでしょうね？
その方が問題かも。。。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)