”kagoya.net”は偽装今日のブログネタをどれにしようかと品定め中にちょうど都合良くこんなメールが(笑) 大手レンタルサーバーの「カゴヤ・ジャパン」さん(以降カゴヤ)にのなりすまし、身に覚えの 無いサービス加入をネタにリンクに誘導し、サーバーへのログインIDとパスワードを盗み出す 目的の詐欺メールです。 最近ちょくちょく目にする カゴヤさんを騙った詐欺メール。 当然、私がカゴヤさんでサーバーレンタルしていることを知ってての犯行だと思います。 (このサイトは、カゴヤさんではありません) では、メールのプロパティーから見ていきましょう。 件名は 「【お申し込みを受け付けました】カゴヤ・クラウド VPS へのお申し込みありがとうございました」 残念、カゴヤさんのクラウドは「KAGOYA CLOUD VPS」でカタカナは使われておりません。 このメールには”[spam]”とスパムスタンプが付けられていませんね。 いつもなら詐欺メールには付けられているはずなのに… 危ない、危ない、それにしてもどうやって突破したんでしょうかね? 差出人は 「カゴヤ・ジャパン サポートセンター <support@kagoya.jp>」 カゴヤさんのサポートと何度か連絡を取ったことありますが、メールアドレスのドメインは ”kagoya.jp”ではなく”kagoya.com”でしたよ。 嘘はいけませんよ! では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<support@kagoya.jp>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<71b4e43ad1e693b3fe671fdc77b12a7e@localhost.localdomain>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from localhost.localdomain ([121.50.46.57])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
あくまでこの方のメールアドレスが”support@kagoya.jp”と言い張るのであればそのウソを 見破ってみます。 もし、この”Received”にあるIPアドレスに”kagoya.jp”が割当てられているのであれば この差出人はカゴヤさん、でもそうでなければメールアドレスの偽装です。 では”kagoya.jp”はどんなIPアドレスに割当てられているのか確認してみましょう! 残念でした! ”Received”にあるIPアドレス”121.50.46.57”とは全く異なる数字が表示されてしましました。 この差出人は、メールアドレスを偽装していました。 ちょっと待った! このIPアドレスって見覚えがある気がする!! そう、先日来たカゴヤさんのなりすましと同じだ!! 『詐欺メール』「Active! mail – カゴヤ・ジャパン株式会社 ・セキュリティシステムのメンテナンス」と、来た件
この時と同一犯の仕業です 懲りないヤツですね。 これは”Received”にあったこのIPアドレスを使ってそのサーバーの割り当て地を確認してみた ものです。 先回の調査の際、脅威レベルは「低」だったんですが、今回は「高」に切り替わっています。 これは危険度が増したって事なんでしょうね。
目的はサーバーの乗っ取りか?!続いて本文です。 先回の調査の時は、日本語が苦手そうな文面でしたが今回は少し上達したようです(笑) でも、学習しないのか、リンクアドレスのドメインも先回の調査と同じ”cprapid.com” サブドメインの”3-137-150-20”部分が前のと違うので一応IPアドレスを確認し その割り当て地だけ確認してみました。 先回と同様に”3-137-150-20”はIPアドレスでしたね。 そしてプロバイダーも前と同じ”Amazon”です。 先回の割り当て地は、カナダのトロントでしたが今回はどこなのでしょうか? 確認してみると、今回は「アメリカ オハイオ州 コロンバス」付近のようです やはり足が付きにくいように点々としているようです。 URLを開いてみると、コンパネへのログイン画面が表示されました。 ここにアカウントを入力して「Login」ボタンを押してしまうと、その時点でその情報は 流出してしまいます。 流出すると、サーバーが乗っ取りに遭いサーバー内にあるメールアカウントを追加され そのアカウントを使ってフィッシング詐欺メールを配信したり、ウェブサーバーも改竄され 詐欺サイトの温床と化すでしょう。
まとめ詐欺メールって流行り廃りが有るので今の流行は「カゴヤ」さんってところでしょうか? 今回のメールの場合は、一般対象ではなくカゴヤさんユーザーに対してですから狙いは ピンポイントです。 足が付きにくいように乗っ取ったサーバーで詐欺を行うのでこういったレンタルサーバー をピンスポットで狙ったものも必要なんでしょうね。(;^_^A いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |