『詐欺メール』「【重要なお知らせ】【KAGOYA セキュリティシステムのメンテナンス】必要なアクション」と、来た件

迷惑メール

サーバー管理者が標的か?!
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

カゴヤさんのメールドメインは”kagoya.com”です

ちょいちょい届くカゴヤさんに成りすました詐欺メール。
カゴヤさんとは、正式名称が「カゴヤ・ジャパン株式会社」で京都市に本社を置くレンタル
サーバーなどを行っているIT企業さんで、うちの事務所もこちらでサーバーをレンタルして
いただいております。
その詐欺メールがこちら。

メールアカウントの認証に失敗したのでリンクから所有権を確認しろって内容。

では、メールのプロパティーから見ていきましょう。

件名は
「【重要なお知らせ】【KAGOYA セキュリティシステムのメンテナンス】必要なアクション(2022年2月1日火曜日 GMT + 9)」
驚くことに、詐欺メールなのにいつもの”[spam]”ってスパムスタンプが付けられていません。
このメールは、サーバーに設置されたスパムフィルターをどういうわけか潜り抜けて
しまったようです。(;^_^A

差出人は
「カゴヤ・ジャパン サポートセンタ <support@kagoya.jp>」
確かに”kagoya.jp”はカゴヤさんが所有するドメインですが、カゴヤさんから届くメールの
ドメインはいつも”kagoya.com”です。
でも、”kagoya.jp”と使い分けているかも知れないって?
じゃ、この送信者が本当に”kagoya.jp”ってドメインのメールアドレスを使ったかどうか
偽装の真意をこのメールのヘッダーソースを確認し調べてみます。

ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<support@kagoya.jp>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<4ee916c17c39db761cf2eb0f3e6d950e@localhost.localdomain>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「rom localhost.localdomain ([121.50.45.172])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

この”Received”に書かれているIPアドレス”121.50.45.172”と”kagoya.jp”を割当てている
IPアドレスを比較してその相関性を調べます。

ほらね、全然違うIPアドレスでしょ?
もしこの差出人のメールアドレスのドメインが”kagoya.jp”だったとしたら同じIPアドレス
出なければなりません。
ってわけで、このメールアドレスは偽装だと断定できました。

では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。

組織名に「組織名 JMF Investment & Technology PTY LTD」とあり
AS名に「TSUKAERUNET」(使えるネット)とあります。
「使えるねっと」は、長野にあるレンタルサーバー会社です。
そしてこのIPアドレスの割り当て地は、東京都千代田区付近。
この付近に設置されたメールサーバーからこのメールは送られてきたものです。
恐らくは、このメールサーバーもこれと同じような手口で乗っ取られたサーバーだと
考えられます。


詐欺サイトも乗ったられたサーバーで?!

本文を見ていきます。

説明文が箇条書きのような書き方でカタコトのように見えるので、おそらく送信者は
海外の方。
今回は”info”アカウント宛に送られてきていますが、”admin”アカウント宛にも同じメールが
同じ時刻に届いているので、ありがちなアカウント宛に一斉に送ったものと思われます。
因みにうちのメールアカウントに”admin”アカウントは存在しないので、そのメールは
迷子フォルダーに格納されていました。(笑)

さて、気になるリンク先ですがこちらのURLから始まる非常に長いものです。

使われているドメインは”cp-kagoyaprivate.main.jp
このドメインについて調べてみました。

「[登録者名] GMOペパボ株式会社」「[Name Server] dns2.lolipop.jp」とあるので
このドメインはどうやらロリポップさんの持ち物のようですね。
だとすれば、乗っ取られてしまったであろうこのサイトの運営者はロリポップさんで
ドメインを取得したのでしょうか?

どのようなサイトなのかとリンクを辿ってみましたが、乗っ取りがばれたのかサイトは
既に閉鎖されていました。


まとめ

これは、サーバー管理者に宛てられた詐欺メールですので一般ユーザーには届かないものと
思われます。
でも、サーバー管理者だとコロっと騙されてしまいサーバーのコントロールパネルへの
アカウントの情報など盗み取られてしまうかもしれませんので要注意です。
サーバーが乗っ取られるとメールアドレスの追加削除やウェブサイトの改ざんにとどまらず
その追加したアドレスで迷惑メールを送ったり、詐欺サイトを構築したりと悪事をはたらいたり
しますからご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

タイトルとURLをコピーしました