大手のIT企業がそのドメインでメールを?!大手レンタルサーバーの「さくらインターネット」さんからこのようなメールが届きました。 私自身も事務所もサーバーレンタルは別の会社さんでこちらとは契約を結んでおりません(笑) 件名は 「[spam] 【重要】ご利用の会員IDとサービスについて(66889088)」 このメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「さくらインターネット <zqci@campaign-vps.com>」 さくらインターネットさんは”sakura.ad.jp”って立派なドメインをお持ちです。 大手のIT企業がわざわざよそのドメインを使ったメールアドレスでユーザー宛にメールを送る なんてこと冗談でも程があります。
犯人はさくらインターネットユーザーではまず、このメールアドレスに使われているドメイン”campaign-vps.com”は実在するのか 確認してみます。 「対応するIPアドレスがありません。」って事なので、少なくとも現在は使われていない ドメインとなっています。 ということは、この差出人は何らかの理由で自身のメールアドレスを隠し偽りのアドレスで メールを配信しているようです。 では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<zqci@campaign-vps.com>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<C290A9E4C1FE249B582DAB90D2153A49@campaign-vps.com>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from campaign-vps.com (unknown [163.43.158.180])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。 なんとこの差出人は「さくらインターネット」のユーザーでした。(;^_^A 自分が契約するレンタルサーバーに成りすますなんてどういう神経なんでしょう… このIPアドレスを元に割出した割り当て地は、当然ながらさくらインターネットの本社がある 大阪市北区。
「与信失敗」って最近よく見かけるけど続いて本文。 与信失敗により 失効を回避するため、以下URLより現在のお支払い情報をご確認のうえ、 更新をお願いします。 |
詐欺メールの文言で最近時折見かける「与信失敗」って言葉。 我々が日常では使いませんよね。 調べなきゃ意味が分からないですし。 もしこの「与信」について興味のある方は「こちら」でお調べください。 まぁ、読んで字の如くあらかじめ信用させるみたいな意味なのでしょう。 このメールの場合は、信用できなくなりそうなので支払い情報をリンクから更新しろ って事なのでしょう。 そのリンク先のサイトは、直書きされているようにこちらのURL。 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」にて確認を してみるとこのように表示されました。 既に危険なサイトでカテゴリはフィッシングとされていますが、まだ現在調査中の様子です。 このサイトのURLのドメインは、サブドメインを含め”sakura.ssoban.cn”です。 このドメインも持ち主や割り当て地を確認してみます。 申請にはYahooのメールアドレスが使われています。 持ち主の氏名は漢字3文字の方で、ドメインの管理は中国企業のアリババに委託されています。 このドメインを割当てているIPアドレスは”115.144.69.31”のようなので、このIPアドレスを 元にその割り当て地を確認してみます。 うちのサイトをよくご覧いただいている方は既に想像済みでしょうね。 そう、さくらインターネットユーザーと隣国の首都はワンセット(笑) ここで開かれているさくらインターネットの偽サイトがこちら。 サイトのURL以外完璧にコピーされています。 これじゃ見分けがつきませんね。
まとめサイト運営者に関わらず不特定多数に送っているこのレンタルサーバー企業を騙った フィッシング詐欺メール。 一般の方には、全く意味不明な内容でしょうね。 でも、サイト運営者となると話は別。 まんまと騙されてコンパネへのログイン情報やクレジットカードの情報を盗まれてしまう ことでしょう。 もちろんクレジットカードの情報を詐取されることも恐ろしいでしょうけど、サイトまで 乗っ取られてしまうと大変。 きっと詐欺メールや詐欺サイトの温床化され、このような詐欺メールの配信元や詐欺サイトに 使われてしまうことでしょうね。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |