弊社はレンタルサーバーはしておりませんまた、おバカなメールが到着。  このメールは「admin@〇〇〇〇」ってアカウント宛に送られてきたもの。 このアカウントは実在しないものでしたので、サーバー内に迷子として保存されていました。 ぼかしてあるところは全て弊社のドメイン名が書かれています。 さも、弊社がメールサーバーを貸し出している感じののり。(笑) こんなので誰か騙せるのでしょうか? では、じっくり見ていきましょうか。 件名は 「【重要】2021年10月27日(水)のサービス復旧のお知らせ。」 うちのサーバーさぼっていますね。 いつもの”[spam]”ってスパムスタンプが付けられていません。 でもこれは正真正銘のスパムメールです。 ”2021年10月27日”と言えば、本日です。 さて、何のサービスが復旧したのでしょうか? この件名だけじゃさっぱり分かりません。 差出人は 「”○○○○ サポート” <fukushima.tta-01@fukushima-tta.jp>」 「○○○○」は例によって弊社のドメインが記載されています。 それに、このメールアドレスはきっと偽装。 それも実在するメールアドレスを騙っていると思われます。 それが証拠に、このメールアドレスに使われているドメインは「福島県卓球協会」さんの 持ち物でした。 
メールアドレスは「福島県卓球協会」を騙るではこのメールをヘッダーソースから調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<fukushima.tta-01@fukushima-tta.jp>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<2a3804e0-f3b2-7334-e984-90acdf9f237c@fukushima-tta.jp>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from [127.0.0.1] (unknown [20.46.118.217])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう! このIPアドレスの割り宛先は、果たして「福島県卓球協会」さんなのでしょうか?(笑)  このIPアドレスの割り当て地は「埼玉県さいたま市中央区」 けして福島県じゃありません。(笑) おまけに利用しているプロバイダーはMicrosoftと出ています。 はて、Microsoftってプロバイダーなんてしてたんだろうか??
「オーセンティケーター」とは?さて、続いて本文を見ていきます。 2021年10月27日08:57-10:40(水)以下の対象サーバーを使用しているお客様で障害が 発生しました。現在は復旧しております。 ご迷惑をお掛けし、大変申し訳ございませんでした。 ■対象サーバー ○○○○ ■時間 2021年10月27日水曜日10:57から14:40 ■内容 Webオーセンティケーターエラー ■原因 電子メールサーバーへのアクセスがオフになっていたため、不安定な状態になりました。 メールサーバーを認証するには、以下のリンクをクリックしてください |
どうでもいいけど、1行目には障害発生時刻が「2021年10月27日08:57-10:40(水)」 となっているのに箇条書きのところは「2021年10月27日水曜日10:57から14:40」に なっています。 何故こんなに時間の食い違いがあるのでしょうか?(笑) さて、内容のところに書いてある「Webオーセンティケーターエラー」ってのは何なのか? 聞きなれない言葉なので気になりますよね。 調べてみると、どうやら「オーセンティケーター」とは「二段階認証」の事のようです。 でも次の項の原因として書かれているのは「電子メールサーバーがオフになっていたため」 はて? 「二段階認証」じゃなかったの? まぁ、支離滅裂はスパムメールではよくあることですが… この後に詐欺サイトへのリンクが付けられているわけなんですが、そのリンク先のURLは こちらのドメインから始まるもの。  では、ここで使われている”fotojosue.com”と言うドメインを調べてみましょう。  ん~、あまり詳しい情報は出てきませんでしたね。 「Registrant Country: ZA」と「Registrant State/Province: GAUTENG」とありますので 持ち主は、「南アフリカ・ハウテン」ってところです。 「対応するIPアドレスがありません。」と書かれていますが、他のサイトで調べると… 
あくまでおおよその位置ですが「アメリカ・イリノイ州・シカゴ」と出ました。 ここでどんなサイトを開いているのかと思って繋いできたのですが、残念ながら空振り。 既にサイトは閉鎖されていました。
まとめ最初にも書きましたが、このメールは「admin@〇〇〇〇」って実在しないメールアドレス 宛に送られてきたものですが「info@○○○○」にも届いていました。 どうやらありがちなアカウントに向け適当に送ってきているようですね。 このメールは、サーバー管理者に宛てたものです。 想像の範囲の話ですが、経験上閉鎖されていたサイトはメールサーバーのコンパネを模した 偽サイトで、ログインさせるふりをしそのログイン情報を盗み取った上で、不正ログインし サーバーに悪さを加えようとするのです。 そんなことして何が楽しいのでしょうか? そんなことに頭を使うならその技術をもっと他に生かせばいいのにね。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |