『詐欺メール』「【重要なお知らせ】【KAGOYA セキュリティシステムのメンテナンス】必要なアクション」と、来た件

カゴヤさんのメールドメインは”kagoya.com”です

ちょいちょい届くカゴヤさんに成りすました詐欺メール。
カゴヤさんとは、正式名称が「カゴヤ・ジャパン株式会社」で京都市に本社を置くレンタル
サーバーなどを行っているIT企業さんで、うちの事務所もこちらでサーバーをレンタルして
いただいております。
その詐欺メールがこちら。

メールアカウントの認証に失敗したのでリンクから所有権を確認しろって内容。

では、メールのプロパティーから見ていきましょう。

件名は
「【重要なお知らせ】【KAGOYA セキュリティシステムのメンテナンス】必要なアクション(2022年2月1日火曜日 GMT + 9)」
驚くことに、詐欺メールなのにいつもの”[spam]”ってスパムスタンプが付けられていません。
このメールは、サーバーに設置されたスパムフィルターをどういうわけか潜り抜けて
しまったようです。(;^_^A

差出人は
「カゴヤ・ジャパン サポートセンタ <support@kagoya.jp>」
確かに”kagoya.jp”はカゴヤさんが所有するドメインですが、カゴヤさんから届くメールの
ドメインはいつも”kagoya.com”です。
でも、”kagoya.jp”と使い分けているかも知れないって？
じゃ、この送信者が本当に”kagoya.jp”ってドメインのメールアドレスを使ったかどうか
偽装の真意をこのメールのヘッダーソースを確認し調べてみます。

ソースから抜き出した「フィールド御三家」がこちらです。

この”Received”に書かれているIPアドレス”121.50.45.172”と”kagoya.jp”を割当てている
IPアドレスを比較してその相関性を調べます。

ほらね、全然違うIPアドレスでしょ？
もしこの差出人のメールアドレスのドメインが”kagoya.jp”だったとしたら同じIPアドレス
出なければなりません。
ってわけで、このメールアドレスは偽装だと断定できました。

では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。

組織名に「組織名 JMF Investment & Technology PTY LTD」とあり
AS名に「TSUKAERUNET」（使えるネット）とあります。
「使えるねっと」は、長野にあるレンタルサーバー会社です。
そしてこのIPアドレスの割り当て地は、東京都千代田区付近。
この付近に設置されたメールサーバーからこのメールは送られてきたものです。
恐らくは、このメールサーバーもこれと同じような手口で乗っ取られたサーバーだと
考えられます。

詐欺サイトも乗ったられたサーバーで？！

本文を見ていきます。

説明文が箇条書きのような書き方でカタコトのように見えるので、おそらく送信者は
海外の方。
今回は”info”アカウント宛に送られてきていますが、”admin”アカウント宛にも同じメールが
同じ時刻に届いているので、ありがちなアカウント宛に一斉に送ったものと思われます。
因みにうちのメールアカウントに”admin”アカウントは存在しないので、そのメールは
迷子フォルダーに格納されていました。(笑)

さて、気になるリンク先ですがこちらのURLから始まる非常に長いものです。

使われているドメインは”cp-kagoyaprivate.main.jp”
このドメインについて調べてみました。

「[登録者名] GMOペパボ株式会社」「[Name Server] dns2.lolipop.jp」とあるので
このドメインはどうやらロリポップさんの持ち物のようですね。
だとすれば、乗っ取られてしまったであろうこのサイトの運営者はロリポップさんで
ドメインを取得したのでしょうか？

どのようなサイトなのかとリンクを辿ってみましたが、乗っ取りがばれたのかサイトは
既に閉鎖されていました。

まとめ

これは、サーバー管理者に宛てられた詐欺メールですので一般ユーザーには届かないものと
思われます。
でも、サーバー管理者だとコロっと騙されてしまいサーバーのコントロールパネルへの
アカウントの情報など盗み取られてしまうかもしれませんので要注意です。
サーバーが乗っ取られるとメールアドレスの追加削除やウェブサイトの改ざんにとどまらず
その追加したアドレスで迷惑メールを送ったり、詐欺サイトを構築したりと悪事をはたらいたり
しますからご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;