『詐欺メール』KAGOYAさんから「Notification」と「1新しい重要な通知」と、来た件

サーバー管理者が標的

うちの事務所はKAGOYAさんでサーバーレンタルをさせていただいています。
どこでその情報が漏れたのか知りませんが、infoアカウントとadminアカウント宛に
KAGOYAさんに成りすました詐欺メールが忘れた頃に時々届きます。
今日もお昼前からバタバタとKAGOYAさんと称したメールが4通届いています。

これらはメールサーバーが溢れたことを伝えるサーバー管理者に向けた詐欺メール。
件名が「Notification」ってのが3つ「1新しい重要な通知」ってのが1つ。
差出人と中身はどれも同じです。

何故か件名にいつも詐欺メールに付けられている”[spam]”とスタンプが付けられていません。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは
全て迷惑メールと判断されたものなのですが。
どうしてスパムフィルターをすり抜けてきたのでしょうか？
それにしてもカタコトですね(笑)

差出人は
「”KAGOYA Internet Service” <game10@161641.net>」
はぁ？　なぜレンタルサーバーをするようなIT企業が自社のドメインではないメールアドレス
を使ってユーザーにメールを送るんでしょうか？
そんなこと絶対にあり得ません。

メール発信サーバーは埼玉大学付近に！？

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみす。

IPアドレスから導き出した位置は、埼玉大学付近。
確か以前のKAGOYAさんを騙ったメールサーバーもこの付近が表示されたと記憶しています。

乗っ取ったサーバーを使って悪事を！？

本文はこちらです。

「完全なメールボックスメモリスペース」なんてややっこしい言い方しますかね？
私なら単純に「メールボックス」と言うと思いますが…(笑)

詐欺サイトのURLは直書きされているようにこちらです。

KAGOYAさんらしい”kagoya.net”なんて書かれていますが、このURLで使われている
ドメインは”kagoya.net”ではなく”stpt.co.jp”ですのでお間違いなく。
まぁ想像するに”stpt.co.jp”ってドメインも差出人の持ち物ではなく、同じ手口で騙して
乗っ取ったサーバーのドメインでしょう。

一応このドメインについて調べてみます。

このドメインは”210.188.201.193”ってIPアドレスに割当てられているようです。

ではこのIPアドレスを使ってその危険度と位置情報を拾ってみます。

出てきた位置情報は「東京都、千代田区」
利用しているプロバイダーは”Xserver”とされています。
そしてこのIPアドレスの危険度は脅威のレベル「高」
でもってその種類は「Webによるサイバーアタック」
とても危険な香りがします。

URLに接続してみると「ATWインターネットサービス」と言うタイトルのこのような
ページが開きました。

このページは、メールサーバー「ActiveMail」のログイン画面です。
もちろん偽物ですが。
ユーザー名が固定されているので適当に入力してログインしてみるって言ういつもの手は
使えませんでした。

でもなぜページタイトルが「ATWインターネットサービス」なんでしょうか？
調べてみると「ATWインターネットサービス」さんはKAGOYAさんと同じレンタルサーバー。
もしかして「ATWインターネットサービス」さんのユーザーも騙してるって事？
悪ですね～

まとめ

このメールは、infoとadminアカウントが標的でしたので管理者を狙ったもの。
目的は、サーバーのログインIDとパスワードを入手しメールサーバーを乗っ取り
そのメールサーバーでアカウントなどを追加し詐欺メールの配信を行うものです。
だからきっとこのメールの送信サーバーと詐欺サイトはこの手口で乗っ取ったもの
と思われます。
それにしても立て続けに4通も送って来るとは…(;^_^A

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;