カゴヤさんはカゴヤさんのドメインを使いますちょいちょい来るレンタルサーバーのカゴヤさんに成りすましたこのバカげたメール。 これは、うちの事務所のinfoアカウントに届いたほんと迷惑なメールです。 ぼかしを入れた部分にはうちのinfoメールアカウントが書かれています。 どうやらこのメールによると、infoアカウントが削除されることになっているようです。 リンクを辿りサービスをアップグレードすることで回避できるような書き方がされて いますがもちろんこれはウソ。 リンク先でログイン情報を詐取しサーバーを乗っ取るのが目的です。 件名は 「【KAGOYA WEBメール】ログインのお知らせ< 1 秒 前”,」 通常の迷惑メールなら頭に”[spam]”とスタンプが付けられているのですがこのメールには それがありません。不気味です… 差出人は 「KAGOYA Inc <sawada@air.linkclub.or.jp>」 ドメインが”air.linkclub.or.jp“なんてカゴヤさんでは絶対にあり得ません。 調べるとこのドメインは実際に「リンククラブ」ってところで使われているものでした。 想像ですが、この「リンククラブ」さんも被害者で、このようなメールに騙されサーバーを 乗っ取られそのサーバーが詐欺メールや詐欺サイトの温床になったと考えられます。
自分のPCがメールサーバーなヤツでは、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<sawada@air.linkclub.or.jp>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<a498e5a6-ba65-f4c9-22b9-4a3d45829663@air.linkclub.or.jp>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from [127.0.0.1] (unknown [52.140.217.90])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
まず気になったのは”Received” ここに”from [127.0.0.1]”と書かれています。 ”127.0.0.1”はlocalhostなので、この差出人のPCには自前のSMTPサーバーが 稼働しています。 簡単に言うと、メールを送ったPCの中に送信サーバーが組み込まれていること。 では、この”Received”にあったIPアドレス”52.140.217.90”を使ってそのサーバーの 情報を拾ってみます。 埼玉大学付近が表示されました。 カゴヤさんを騙る詐欺メールはいつもこの付近から送られてきます。 この辺りに犯人のアジトがあるようです。
あれ、カゴヤさんじゃなかったの?ではメールの本文に戻ります。 お客さま各位 [ログイン内容] 日付と時刻:December 19, 2021, 8:47:49 PM IPアドレス:30.70.11.19 接続地域:国外 いつも(○○○○) WEBメールをご利用いただきありがとうございます。 メールアドレスは 【 ○○○○@○○○○.○○ 】 で、削除のフラグが付けられています。 サーバーのメンテナンスを実施しています。 以下のリンクをたどって、サービスをアップグレードしてください. https://santamariasold.com/move/kagoya.net/?uid=○○○○@○○○○.○○ 今後もよりよいサービスをお客様に提供できるよう専心努力してまいります。 引き続き変わらぬご愛顧を賜りますようお願い申し上げます |
「ログイン内容」にそれらしく日時とIPアドレスが記載されていますがもちろん嘘。 「削除のフラグが付けられています。」と「サーバーのメンテナンスを実施しています。」 は何かの関連性があるのでしょうか? メンテナンスの際に削除されるということを意味しているのか、それともメンテナンスを しているからついでにサービスをアップグレードしろということなのか。 よくわからないメールです。 そのリンクが直書きされたURL。 このURLのドメインは”kagoya.net”ではなく”santamariasold.com”ですからお間違いなく ご注意ください。 ではこのドメインの情報も拾ってみましょう。 持ち主は、アメリカカリフォルニアの方のようです。 ”Creation Date: 2010-12-28”とありますからかなり長く使われているドメインのようですね。 表示されたIPアドレス”69.49.229.39”を使ってその位置情報を取得してみます。 出てきた情報によるとその地は「アメリカ フロリダ州 サウスサイド ジャクソンビル」 もちろんおおよその位置ですが、この付近に設置されたウェブサーバーで詐欺サイトを 運営している様子。 繋いでみるとこのようなActiveMailと呼ばれるメールサーバーコントロールパネルへの ログイン画面が表示されました。 当然これも偽のサイトです。 タブを見るとサイトの名前が「ATWインターネットサービス」とされていますが、調べて みるとこの名前はレンタルサーバー屋さん。 それにしてもいい加減ですね、メールではカゴヤさんを名乗っておきながら接続される サイトは他のレンタルサーバーってどういうこと? すぐばれるような嘘はつかない方が良いですよ!
まとめカゴヤさんを騙りサーバーを乗っ取ろうとするメールは時々届きますが、どれもウソが あからさまです。 サーバー管理者を標的にしているのであればもっと研究しないと誰も騙されませんよ(笑) いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |