『詐欺メール』「【KAGOYA WEBメール】ログインのお知らせ< 1 秒 前",」と、来た件

カゴヤさんはカゴヤさんのドメインを使います

ちょいちょい来るレンタルサーバーのカゴヤさんに成りすましたこのバカげたメール。
これは、うちの事務所のinfoアカウントに届いたほんと迷惑なメールです。

ぼかしを入れた部分にはうちのinfoメールアカウントが書かれています。
どうやらこのメールによると、infoアカウントが削除されることになっているようです。
リンクを辿りサービスをアップグレードすることで回避できるような書き方がされて
いますがもちろんこれはウソ。
リンク先でログイン情報を詐取しサーバーを乗っ取るのが目的です。

件名は
「【KAGOYA WEBメール】ログインのお知らせ< 1 秒 前",」
通常の迷惑メールなら頭に”[spam]”とスタンプが付けられているのですがこのメールには
それがありません。不気味です…

差出人は
「KAGOYA Inc <sawada@air.linkclub.or.jp>」
ドメインが"air.linkclub.or.jp“なんてカゴヤさんでは絶対にあり得ません。
調べるとこのドメインは実際に「リンククラブ」ってところで使われているものでした。
想像ですが、この「リンククラブ」さんも被害者で、このようなメールに騙されサーバーを
乗っ取られそのサーバーが詐欺メールや詐欺サイトの温床になったと考えられます。

自分のPCがメールサーバーなヤツ

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

まず気になったのは”Received”
ここに”from [127.0.0.1]”と書かれています。
”127.0.0.1”はlocalhostなので、この差出人のPCには自前のSMTPサーバーが
稼働しています。
簡単に言うと、メールを送ったPCの中に送信サーバーが組み込まれていること。
では、この”Received”にあったIPアドレス”52.140.217.90”を使ってそのサーバーの
情報を拾ってみます。

埼玉大学付近が表示されました。
カゴヤさんを騙る詐欺メールはいつもこの付近から送られてきます。
この辺りに犯人のアジトがあるようです。

あれ、カゴヤさんじゃなかったの？

ではメールの本文に戻ります。

「ログイン内容」にそれらしく日時とIPアドレスが記載されていますがもちろん嘘。
「削除のフラグが付けられています。」と「サーバーのメンテナンスを実施しています。」
は何かの関連性があるのでしょうか？
メンテナンスの際に削除されるということを意味しているのか、それともメンテナンスを
しているからついでにサービスをアップグレードしろということなのか。
よくわからないメールです。

そのリンクが直書きされたURL。
このURLのドメインは”kagoya.net”ではなく”santamariasold.com”ですからお間違いなく
ご注意ください。
ではこのドメインの情報も拾ってみましょう。

持ち主は、アメリカカリフォルニアの方のようです。
”Creation Date: 2010-12-28”とありますからかなり長く使われているドメインのようですね。
表示されたIPアドレス”69.49.229.39”を使ってその位置情報を取得してみます。

出てきた情報によるとその地は「アメリカ フロリダ州 サウスサイド ジャクソンビル」
もちろんおおよその位置ですが、この付近に設置されたウェブサーバーで詐欺サイトを
運営している様子。

繋いでみるとこのようなActiveMailと呼ばれるメールサーバーコントロールパネルへの
ログイン画面が表示されました。
当然これも偽のサイトです。

タブを見るとサイトの名前が「ATWインターネットサービス」とされていますが、調べて
みるとこの名前はレンタルサーバー屋さん。
それにしてもいい加減ですね、メールではカゴヤさんを名乗っておきながら接続される
サイトは他のレンタルサーバーってどういうこと？
すぐばれるような嘘はつかない方が良いですよ！

まとめ

カゴヤさんを騙りサーバーを乗っ取ろうとするメールは時々届きますが、どれもウソが
あからさまです。
サーバー管理者を標的にしているのであればもっと研究しないと誰も騙されませんよ(笑)

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;