レンタルサーバーに成りすました詐欺忘れた頃たまに送られてくる「カゴヤジャパン」さんに成りすました詐欺メール。
「カゴヤジャパン」さんとは、京都に本社を置く大手レンタルサーバー企業です。
今日はこんな内容で送られてきました。
 では、このメールもプロパティーから見ていきましょう。 件名は
「7通の受信メールを配信できませんでした」
いつもなら頭に”[spam]”とスタンプが付けられているのですがサーバーがチョンボしたようで
この件名にはそのスタンプがありません。
でも、このメールは明らかに詐欺メールです。 差出人は
「KAGOYA <uziiezoen@browse.jp>」
大手レンタルサーバーのようなIT企業が自社に全く関係の無いこのようなドメインを使った
メールアドレスでユーザー宛にメールを送ることは絶対にありません。
「カゴヤジャパン」さんなら、例えば”kagoya.jp”とか”kagoya.net”とか自社名の入った
ドメインで送られてきます。
それ以前に”browse.jp”なんてドメインもウソかも知れませんしね。
”browse.jp”も偽装では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「<uziiezoen@browse.jp>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「<3f2b7203-e41e-b5c9-8da3-39f43d79fe88@browse.jp>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from ec2-54-248-142-60.ap-northeast-1.compute.amazonaws.com ([54.248.142.60]:55188 helo=[127.0.0.1])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
まず、メールアドレスに使われていたドメイン”browse.jp”についての情報を拾ってみます。
あらら、このドメインは「カゴヤジャパン」さんの持ち物になっていますので、使っているのは
カゴヤさんのユーザーのようですね。
割当てているIPアドレスは”203.142.206.12”とされています。
このIPアドレスが”Received”に記載されていたIPアドレスと合致すれば差出人は”browse.jp”
ってドメインの利用者となりますが、”54.248.142.60”なので全く異なりますよね。
ですからこの差出人のメールアドレスは偽装と言うことになります。 では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。
プロバイダー名が「Amazon Web Services」とされていますので、このメールの差出人が
利用しているのはAmazonが行っているクラウド上のレンタルサーバーの利用者のようです。 このIPアドレスを元にその割り当て地を確認してみると。
その地は「東京都杉並区和泉」付近。
おおよそこの位置に設置されているサーバーからこのメールを送信したようです。
Copyrightに別会社名が?!本文はこんな感じです。
この差出人は、”info”アカウント宛に送ってきています。
たぶん、あてずっぽで”info”や”admin”などありがちなアカウント宛に適当に送っているものと
思われます。 このメール、よく見ると末尾のCopyrightの部分の会社名は、なぜか「カゴヤジャパン」さん
じゃなくて”antou-housing.jp Co.、LTD”になっています。
日本語で書くと「安東ハウジング」でしょうか。
カゴヤさん名義のメールの全権所有者が安東ハウジング…ワケワカメです(;^_^A そしてこのメールの最大の目的は、リンクから詐欺サイトに誘いいこむこと。
そのリンク先のURLは直書きされた通りこちら。
ここで気を付けなければならないのは、このURLのドメインは”kagoya.com”ではなくて
”thelegendmall.com”ですのでお間違いないように! ではまず、こおnサイトの危険性をノートンの「セーフウェブレポート」で確認してみました。
既に危険なサイトとして認識されているようです。 このURLで使われているドメインは”thelegendmall.com”
持ち主は誰でどこで使われているのでしょうか?
詳しい情報は取得できませんでしたが、割当てているIPアドレスは”66.29.145.208”です。
このIPアドレスを元にその割り当て地を確認してみます。
結果は、アメリカニューヨーク州マンハッタン付近。 この地で運営されているリンク先のサイトへ安全な方法でリンク先に行ってみました。
ここに情報を入力してログインボタンを押してしまうと、犯人側にその情報が盗み取られ
サーバーを乗っ取られることになります。
乗っ取られると、ウェブサイトの改ざんやメールアカウント操作に限らず、作成したメール
アドレスからフィッシング詐欺メールを送信したり、ウェブサイトにフィッシング詐欺サイト
を構築されたりします。
きっとこのサイトも乗っ取りに遭ったサイトでしょうね。
まとめ昨日からバタバタとサーバー管理者を標的にした詐欺メールが数通届いています。
宛先のアカウントは”info”た”admin“、”office”、”mail”などありがちなものが標的に
されています。
よく見れば必ず偽物を見抜くためのヒントが隠れていますので差出人のメールアドレスや
リンク先のURLに注意してみてください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
