『詐欺メール』KAGOYAさんから「3つの受信メールが返されました。」と、来た件

ありがちなアカウント名を使う手口
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!

何通送ってるの?

またまたレンタルサーバー会社の「カゴヤ・ジャパン」さに成りすましサーバーを
乗っ取ろうとする悪い奴らからのメールがサーバーの迷子メールBOXに大量に届いています。

見てください。
同じ時刻に大量に届いていることが分かると思います。

これ、全部迷子メール。
なぜ迷子メールかと言うと、うちの社の場合、アカウント(@より前の部分)が存在しなくても
ドメイン部分さえ合っていればサーバーに残すようにしているからです。

差出人は全部同じメールアドレスで、宛先は上から順に
”minato@○○○○”
”nakamura@○○○〇”
”ito@○○○〇”
”tanaka@○○○〇”
”shop@○○○〇”
”sales@○○○〇”
” watanabe@○○○〇”
どれもうちのメールアカウントにはないものです。
きっとありがちなアカウントを適当に決め打ちして送信してきているものと思われます。

同じものが、infoアカウント宛にも来ていましたので、これを元にいつものように詳細を
調べていこうと思います。

こちらがそのメールの文面。

内容は、メールサーバーの容量が限界になり3つのメールを受け取ることができなかったので
メールサーバーの容量を増やすためにリンクから設定を変更しろ見たいな感じです。

件名は
「【重要】○○○○への通知」
「○○○○」部にはうちの事務所のドメインが入っています。
普通なら「メールサーバーの空き容量が少なくなっています」などとメールの趣旨が書かれて
いるはずですが、この件名はちょっと不自然。

差出人は
「”KAGOYA Internet Service” <life@kscompany.jp>」
どのメールも差出人は同じです。
”KAGOYA”とは「カゴヤ・ジャパン」さんの事で、どこで漏れたのか知りませんが、
うちの事務所が「カゴヤ・ジャパン」と契約しているのを知ってて送ってきています。

犯人探し

ではこのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<life@kscompany.jp>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
Message-ID:「<6cbfd9e5-fb07-2333-9c87-f9b6e1684f1e@kscompany.jp>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
Received:「from sv64.xserver.jp (localhost [127.0.0.1])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

Received”が”localhost”となっていますね。
その前の部分をよく見ると、”from sv64.xserver.jp”と記載されています。
詳しいことは分かりませんが、どうやらこれは通常のメールソフトではなく
sv64.xserver.jp”ってサーバーのスクリプトを使って送られてきている感じ。
迷惑メールには”Received”が”localhost”になっているものが多いらしいです。
xserverと言えば、こちらも大手レンタルサーバーさんですね。

1通のメールは、いくつかのサーバーを通過してきます。
では、もう1つ上の階層の”Received”はどうなっているのでしょう?
調べると「Received: from sv64.xserver.jp (210.188.201.17)」と書かれています。
このIPの情報を取得してみました。

あっ、”kscompany.jp”って差出人のメールアドレスに使われていたドメインですね。

「カゴヤ・ジャパン」さんを騙る迷惑メールは、今までにも何度か受信していますが
いつも差出人のメールアドレスは、必ず実在の会社などのメールアドレスを使い偽装が
行われていますしたが、どうやら今回はそうじゃないみたいです。
kscompany.jp”で検索してみると今回も神戸にあるヘアーサロンが抽出されました。(汗)
このヘアーサロンにゆかりのある人物が差出人のようですね。
こんなすぐに足が付くようなメールはやばいですよ!

「404 File Not Found」

では、本文。

完全なメールボックスメモリスペースがほぼ満杯であるため、

3つ の受信メールが返されました。

メールボックスの記憶域を増やすには、

以下のリンクをクリックしてプロセスを完了してください

「完全なメールボックスメモリスペースがほぼ満杯であるため」…
ん?”完全な”? メールボックスの表現で完全とか不完全とかって、そんな言葉使う?
もしかして差出人は国外の方??
それに、メールボックスに”メモリ”なんてありませんよ。(笑)

うちのサーバーの管理は私に一任されています。
うちの事務所はCADを扱うのでデーターのやり取りが多く特にメールサーバーの管理には
気を付けています。
ですからメールサーバーがあふれてしまうことはまずありません。
一般的にメールサーバー容量は不足した場合は、受信済みや送信済みのメールを削除すれば
良いだけです。
ですから、サーバー側でどうこうするものではありません。
でも、このメールでは、リンクから処理しろと書かれています。
そのリンク先のURLがこちら。

使われている”sugargliderz.com”ってドメインを調べてみます。

これによると、このドメインは”210.188.201.147”ってIPアドレスに割当てられています。
持ち主は「千葉県松戸市」の方。
そしてこのドメインは「スタードメイン」に管理が委託されていました。

では、このIPアドレスの割り当て地を確認してみます。

あくまでおおよその位置ですが、結果は「東京都千代田区内神田」と出ました。

サイトにアクセスしてみたらこのような真っ青のページが開きました。

「404 File Not Found」ですから、ページが見つからないと言った状況です。
きっと、やばくなったんでトンズラしたんでしょうね。
詐欺サイトの旬は本当に短いものです…

まとめ

カゴヤさんを騙るものは、いつもーバーの乗っ取りを企てたメールです。
なので一般的にはサーバー管理者に宛ててくるものですが、今回のように手あたり次第に
適当なアカウントを目掛けたものは初めて。
それに、メールアドレスを偽装してないものも初めてでした。
こんな足のつきやすい迷惑メールもあるんですね。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る

迷惑メール【重要】○○○○への通知,3つの受信メールが返されました,404 File Not Found,IPアドレス,KAGOYA Internet Service,kscompany.jp,Message ID,Received,Return-Path,SMS,SPAM,Xserver,カゴヤ・ジャパン,ジャンクメール,スタードメイン,ドメイン,なりすまし,フィッシング詐欺,ヘッダーソース,メール,ワードサラダ,千代田区内神田,千葉県松戸市,完コピ偽サイト,完全なメールボックス,拡散希望,注意喚起,神戸にあるヘアーサロン,著作権法違反,詐欺,詐欺サイト,詐欺メール,調査,迷惑メール,重要

Posted by heart