『詐欺メール』「【重要】さくらインターネット会員ご登録情報について」と、来た件

日本のIT企業がこんなドメインのメールアドレスを？！

以前にも件名違いで内容の詐欺メールをご紹介していますが危険度が高いので改めて再度
ご紹介させていただきます。
これは大手レンタルサーバー「さくらインターネット」に成りすましクレジットカードの
情報を盗み取る目的のフィッシング詐欺メールです。

件名は
「[spam] 【重要】さくらインターネット会員ご登録情報について」
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは
全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”さくらインターネット” <gkryve@zaxsijrwis.hk>」
「さくらインターネット」さんは国内有数の大手レンタルサーバー。
そんなIT企業が自社のドメインを使わないメールアドレスでユーザーにメールを送るなんて
信用の無いことをすると思いますか？
しませんよね(笑)
因みに”.hk”は香港のトップレベルドメインです。

空きドメインでメールは送れません

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみます。

おっと！
プロバイダー名に「SAKURA Internet Inc.」さんが出てきちゃいましたね…(;^_^A
ということは、差出した犯人も「さくらインターネット」さんのユーザーですね。

じゃ、差出人のメールアドレスに使われていたドメイン”zaxsijrwis.hk”について
調べることにします。

「The domain has not been registered」と書かれているのでこのドメインはまだ使われて
いない空きのドメインです。
やはりメールアドレスは偽装されていましたね。

理由も無く身分証明書を要求

さて、本文です。

以前のもそうでしたが、内容は本人確認のために身分証明書のコピーを提示しろ
って内容です。
でもその提示理由がどこにも書かれていません。

どうやら「＜会員登録情報の確認と更新のお願い＞」と書かれているのでリンク先に
何らかの説明があるようです。
そのリンク先のURLがこちら。

使われているドメインは”secure-sakura.com”
このドメインについて調べてみました。

持ち主は「中国 合山市」在住の個人。
割当てているIPアドレスは”115.144.69.25”
このIPアドレスを使って実際の割り当て地を詳しく検索してみると。

隣国の首都が表示されました。

ここで営まれている詐欺サイトがこちら。

「さくらインターネット」さんの会員専用ログインページですね。
もちろん偽物のコピーページです。

適当に入力しログインしてみると。

あれ？会員登録情報の確認じゃなかったっけ？
いきなりカードの情報を入力するフォームが表示されてるし…
それはそうです、犯人の目的はこれでですからね(笑)

まとめ

今回は「さくらインターネット」ユーザーを標的にしたものですのでそれ以外の方には
まったくもって無意味な詐欺メールでした。
もっと言えば、標的がサーバー管理者に絞られるので犯人側から見れば対象はごく少数。
そんなITに長けたサーバー管理者が果たしてこのようなメールアドレスから来たメール
なんて誰も信じないでしょうね。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;