サイトアイコン HEARTLAND

『詐欺メール』「【重要】さくらインターネット会員ご登録情報について」と、来た件

私、さくらユーザーじゃありませんけど
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
 

日本のIT企業がこんなドメインのメールアドレスを?!

以前にも件名違いで内容の詐欺メールをご紹介していますが危険度が高いので改めて再度
ご紹介させていただきます。
これは大手レンタルサーバー「さくらインターネット」に成りすましクレジットカードの
情報を盗み取る目的のフィッシング詐欺メールです。

件名は
「[spam] 【重要】さくらインターネット会員ご登録情報について」
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは
全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”さくらインターネット” <gkryve@zaxsijrwis.hk>」
「さくらインターネット」さんは国内有数の大手レンタルサーバー。
そんなIT企業が自社のドメインを使わないメールアドレスでユーザーにメールを送るなんて
信用の無いことをすると思いますか?
しませんよね(笑)
因みに”.hk”は香港のトップレベルドメインです。


空きドメインでメールは送れません

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<gkryve@zaxsijrwis.hk>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<F0BE8323CE35B389F70BFE42068B6997@zaxsijrwis.hk>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from zaxsijrwis.hk (unknown [133.242.225.64])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみます。

おっと!
プロバイダー名に「SAKURA Internet Inc.」さんが出てきちゃいましたね…(;^_^A
ということは、差出した犯人も「さくらインターネット」さんのユーザーですね。

じゃ、差出人のメールアドレスに使われていたドメイン”zaxsijrwis.hk”について
調べることにします。


The domain has not been registered」と書かれているのでこのドメインはまだ使われて
いない空きのドメインです。
やはりメールアドレスは偽装されていましたね。


理由も無く身分証明書を要求

さて、本文です。

■ご連絡日 [2021-12-11]

平素は弊社サービスをご利用いただき、誠にありがとうございます。
さくらインターネットabuse対策チームでございます。

ご登録いただきました以下の会員IDについて、登録の住所を確認できる
身分証明書のコピーをご提示いただけますでしょうか。

また、大変申し訳ございませんが、ご契約中のサービスに対しては、
利用の制限(通信の停止)を行っております。
こちらについては、ご本人様の確認が取れ次第解除させていただきます。

▼期限
2021/12/30 まで

以前のもそうでしたが、内容は本人確認のために身分証明書のコピーを提示しろ
って内容です。
でもその提示理由がどこにも書かれていません。

どうやら「<会員登録情報の確認と更新のお願い>」と書かれているのでリンク先に
何らかの説明があるようです。
そのリンク先のURLがこちら。

使われているドメインは”secure-sakura.com
このドメインについて調べてみました。

持ち主は「中国 合山市」在住の個人。
割当てているIPアドレスは”115.144.69.25”
このIPアドレスを使って実際の割り当て地を詳しく検索してみると。

隣国の首都が表示されました。

ここで営まれている詐欺サイトがこちら。

「さくらインターネット」さんの会員専用ログインページですね。
もちろん偽物のコピーページです。

適当に入力しログインしてみると。

あれ?会員登録情報の確認じゃなかったっけ?
いきなりカードの情報を入力するフォームが表示されてるし…
それはそうです、犯人の目的はこれでですからね(笑)


まとめ

今回は「さくらインターネット」ユーザーを標的にしたものですのでそれ以外の方には
まったくもって無意味な詐欺メールでした。
もっと言えば、標的がサーバー管理者に絞られるので犯人側から見れば対象はごく少数。
そんなITに長けたサーバー管理者が果たしてこのようなメールアドレスから来たメール
なんて誰も信じないでしょうね。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了