サーバー管理者が標的うちの事務所はKAGOYAさんでサーバーレンタルをさせていただいています。 どこでその情報が漏れたのか知りませんが、infoアカウントとadminアカウント宛に KAGOYAさんに成りすました詐欺メールが忘れた頃に時々届きます。 今日もお昼前からバタバタとKAGOYAさんと称したメールが4通届いています。 
これらはメールサーバーが溢れたことを伝えるサーバー管理者に向けた詐欺メール。 件名が「Notification」ってのが3つ「1新しい重要な通知」ってのが1つ。 差出人と中身はどれも同じです。   何故か件名にいつも詐欺メールに付けられている”[spam]”とスタンプが付けられていません。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは 全て迷惑メールと判断されたものなのですが。 どうしてスパムフィルターをすり抜けてきたのでしょうか? それにしてもカタコトですね(笑) 差出人は 「”KAGOYA Internet Service” <game10@161641.net>」 はぁ? なぜレンタルサーバーをするようなIT企業が自社のドメインではないメールアドレス を使ってユーザーにメールを送るんでしょうか? そんなこと絶対にあり得ません。
メール発信サーバーは埼玉大学付近に!?では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<game10@161641.net>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<44ef523c-6767-24e2-5f95-aa457ed653f4@161641.net>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from [127.0.0.1] (unknown [20.210.207.169])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみす。  IPアドレスから導き出した位置は、埼玉大学付近。 確か以前のKAGOYAさんを騙ったメールサーバーもこの付近が表示されたと記憶しています。
乗っ取ったサーバーを使って悪事を!?本文はこちらです。 完全なメールボックスメモリスペースがほぼ満杯であるため、 2つ の受信メールが返されました。 メールボックスの記憶域を増やすには、 以下のリンクをクリックしてプロセスを完了してください |
「完全なメールボックスメモリスペース」なんてややっこしい言い方しますかね? 私なら単純に「メールボックス」と言うと思いますが…(笑) 詐欺サイトのURLは直書きされているようにこちらです。  KAGOYAさんらしい”kagoya.net”なんて書かれていますが、このURLで使われている ドメインは”kagoya.net”ではなく”stpt.co.jp”ですのでお間違いなく。 まぁ想像するに”stpt.co.jp”ってドメインも差出人の持ち物ではなく、同じ手口で騙して 乗っ取ったサーバーのドメインでしょう。 一応このドメインについて調べてみます。  このドメインは”210.188.201.193”ってIPアドレスに割当てられているようです。 ではこのIPアドレスを使ってその危険度と位置情報を拾ってみます。  出てきた位置情報は「東京都、千代田区」 利用しているプロバイダーは”Xserver”とされています。 そしてこのIPアドレスの危険度は脅威のレベル「高」 でもってその種類は「Webによるサイバーアタック」 とても危険な香りがします。 URLに接続してみると「ATWインターネットサービス」と言うタイトルのこのような ページが開きました。  このページは、メールサーバー「ActiveMail」のログイン画面です。 もちろん偽物ですが。 ユーザー名が固定されているので適当に入力してログインしてみるって言ういつもの手は 使えませんでした。 でもなぜページタイトルが「ATWインターネットサービス」なんでしょうか? 調べてみると「ATWインターネットサービス」さんはKAGOYAさんと同じレンタルサーバー。 もしかして「ATWインターネットサービス」さんのユーザーも騙してるって事? 悪ですね~
まとめこのメールは、infoとadminアカウントが標的でしたので管理者を狙ったもの。 目的は、サーバーのログインIDとパスワードを入手しメールサーバーを乗っ取り そのメールサーバーでアカウントなどを追加し詐欺メールの配信を行うものです。 だからきっとこのメールの送信サーバーと詐欺サイトはこの手口で乗っ取ったもの と思われます。 それにしても立て続けに4通も送って来るとは…(;^_^A いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |