日付の曜日がでたらめ レンタルサーバーの「カゴヤジャパン」さんからこんなメールが届きました。 よく見ると、件名に19月09日金曜日と書いてあるのに本文には12月09日火曜日と。 それに今日2021年12月9日は木曜です。 でたらめにもほどがあるこのメールにはサーバーのメンテナンスが実施されている事が 記載されています。 普通、レンタルサーバーがメンテナンスを施す場合、少なくとも1週間以上前に連絡が 来るもの。 それが事後連絡とは考えられません。 では、このクソメールのプロパティーを見ていきます。 件名は 「[spam] 【バージョンアップ】メンテナンス作業のお知らせ(2021年12月09日(金)」 よく見ると”)”が1つ不足しています。 EXCELだったら怒られてしまいますよ!(笑) どちらにしても”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは 全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「KAGOYA Inc <support@kyoto-inet.or.jp>」 確かカゴヤさんからくるメールのドメインは”kagoya.com” 自社ドメインがあるのに”kyoto-inet.or.jp”なんて訳の分からないドメインでメールを送る レンタルサーバーなんて考えられません。 では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<support@kyoto-inet.or.jp>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<768c7ccf-1231-f617-fcce-bdda31f6a09e@kyoto-inet.or.jp>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from [127.0.0.1] (unknown [52.185.142.1])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみます。 ん? これって昨日のエントリーでも見た地図でプロバイダーも同じだ。 そのエントリーがこちらです。 あれもサーバー管理者を標的にしたサイバーメールだったけど、もしかして同一犯? 詐欺サイトは既にもぬけの殻 本文にあるリンク先で使われているドメインはこれまたカゴヤさんには全く関連の無い ”thenewlyfe.com”なんてもの。 調べてみると持ち主は「アメリカ・アリゾナ州・テンピ」の方。 上で取得したIPアドレスを使ってその所在地を調べてみると。 「アメリカ ユタ州 プロボ イースト・ベイ」付近が表示されました。 リンク先を開いてみると、まずこの表示が。 どうやら表面上は”https”と暗号化されたプロトコルを使っているように見せかけていましたが 実際には暗号化されてないサイトのようです。 無理やり先に進んでみましたが、サイトはこのように既にもぬけの殻でした。 まとめ これはサーバー管理者に向けた詐欺メールですので一般的なものではありません。 でも、一握りの人間だからと言って被害に遭にあっても良いわけではありません。 非力ですが少しでもその対策に役立てればと思いエントリー書かせていただきました。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |