同じ件名で異なるアドレスからこの件名は初めてかも。
それに2通も…。
 大阪に本社を置きドメイン取得サービスやレンタルサーバー事業などを行っている大手企業
「Xserver(エックスサーバー)」に成りすましドメインの更新ができなかったことをネタに
クレジットカード情報を引き出そうとするフィッシング詐欺メールがです。
書かれている内容は、全く同じ。
 では、メールのプロパティーから見ていきましょう。 件名はどちらも
「[spam] 【Xserverアカウント】お支払い情報の更新をお願いします」
「【Xserverアカウント】」ってところは違えど「お支払い情報の更新をお願いします」の
くだりは、フィッシング詐欺メールの呪文(笑)
このメールも”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
1通が「Xserverアカウント <ogx@kiriiku.jp>」で
もう1通がXserverアカウント <ltaoz@xserver.ne.jp>」
両方調べるのも面倒なので今回は”ltaoz@xserver.ne.jp”ってメールアドレスの方に絞って
調査してみたいと思います。
確かに”xserver.ne.jp”はXserverさんの正規ドメインですが、このメールアドレスは、件名の
”[spam]”が示す通り偽装されていますので要注意!
「Xserver」を騙った「さくらインターネット」のユーザーでは、このメールアドレスの偽装をヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「<ltaoz@xserver.ne.jp>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「A2D924ED1D71AB25B1ABA123C30F8547@xserver.ne.jp>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from xserver.ne.jp (unknown [133.242.53.24])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
重要なソースは”Received”
本物のXserverさんのドメインを割当てているIPアドレスと”Received”にあるIPアドレスを
比較し偽装されているかどうか確認してみましょう。
これがその結果です。
 ”xserver.ne.jp”を割当てているIPアドレスは”175.28.4.236”と出ました。
”Received”にあるIPアドレスとは似ても似つかぬIPアドレスですので、差出人の
メールアドレス”ltaoz@xserver.ne.jp”は真っ赤なウソと言うことになります。 では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。
Xserverを名乗った差出人は、何とこちらも大手レンタルサーバー「さくらインターネット」
のユーザーだということが判明しました!
このIPアドレス”133.242.53.24”の所在地を確認してみると「長野県上田市」付近の地図が
表示されました。
さくらインターネットさんは上田市にサーバーが無いようなので、この差出人は、自身で
自宅サーバーを構築しているのでしょうか?
危険なWebページへのリンクでは、引き続き本文を見ていきます。
 細かいことは図中に書いておきましたが、まず、このメールには宛名がありません。
宛名が無いのは怪しいメールの証拠です。
このような、重要なメールならなおさら宛名が無いのは不自然です。 そして「与信」なんて調べなければわからないような聞いたことのないような言葉遣い…
調べてみると「与信」とは、「取引相手に信用を供与すること」だそうです…(笑) この本文によると、どうやらドメインの更新料金が何らかの原因で支払えなかったようです。
もちろん嘘ですがね。。。
だって私、Xserverのユーザーじゃありませんもん(笑)
どうせどこかからお金を払って購入した漏洩メールアドレスリストにあるアドレスに数打てば
当たる方式で片っ端からこのメールを送っているのでしょう。 フィッシング詐欺メールなので、このメールには当然詐欺サイトへのリンクが複数個所に
付けられています。
そのリンク先のURLは直書きされている通りこちらです。
 まずはこのサイトの危険性をノートンの「セーフウェブレポート」で確認してみると
「警告」レベルと表示されました。
「脅威レポート」には
「これは既知の危険な Web ページです。このページを表示しないことを推奨します。」
と書かれていますから、業界では危険なサイトとして周知されているようです。
 使われていづドメインは”xserver-vps.kiriiku.jp”です。
このドメインについても調べてみました。
 このドメインは、Xserverさんに管理が委託されているドメインのようです。
自分が管理を委託している企業を騙ってフィッシング詐欺を行っているんですね…(-_-;) これによると、このドメインを割当てているIPアドレスは”115.144.69.72”とされているので
このIPアドレスを元にその割り当て地を確認してみます。
 そうそう、詐欺メールの「さくらインターネット」と隣国はセットでしたね!
それにこのサイトでも脅威のレベルは「高」とされており、その種類は、ウェブによる
サイバーアタックと書かれているので、フィッシング詐欺サイトとして知られているようです。 危険だから行くなと言われると、どうしても見たくあるのが人情と言うもの。
我慢できずに見に行くと、「Xserverレンタルサーバー」と書かれたユーザー専用の
コントロールパネルへのログイン画面が表示されました。
 ここにユーザー名とパスワードを入力し先へ進むと、その時点でサーバーへログイン情報が
詐取されて、ウェブサーバーやメールサーバーが乗っ取られることになります。
更にその先で、クレジットカード情報なども入力させられるのでそれもすべて犯人の手中に。
…怖い怖い(;´Д`)
まとめレンタルサーバーを騙ったフィッシング詐欺メールは、adminアカウントやinfoアカウント
には頻繁に届きますが、このアドレスにはあまり届いたことがありません。
一般の方に届いても「はてな」なメールでしょうけど、実際にXserverのユーザーの手元に
届くことを考えると…ぞっとしますね。
Xserverに限らず、私のようにレンタルサーバーのユーザーさんは、きっとサーバーの
コントロールパネルへのリンクはブックマークされていることと思いますので、メールの
リンクは辿らず、自身のブックマークから開くようにご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
