先週からカゴヤさんのなりすましが急増中今度はカゴヤ・ジャパンさんを騙った詐欺メールのご紹介。 先週中ごろから「メールボックスの有効期限」や「受信メールを配信できませんでした」 などと言った件名を使い、大手レンタルサーバーのカゴヤ・ジャパンさんに成りすました 詐欺メールが急増しています。 今朝も、ブログエントリー作成中にこのようなメールが送られてきました。  件名は 「[spam] 必要なアクション:13個の隔離されたメッセージがあります」 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「Kagoya Internet | ******.*** <info@l-partner.co.jp>」 にはうちのドメインが入れられています。 カゴヤ・ジャパンさんを騙っておきながら、それとは全く異なる”l-partner.co.jp”なんて ドメインのメールアドレスはあり得ません。 本当のカゴヤさんなら”kagoya.net”や”kagoya.com”などと言ったカゴヤさんに関連性のある ドメインメールで送られてくるはずです。 それ以前にここに書かれているメールアドレスも眉唾ですけどね。
メールアドレスは偽装されていたでは、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<info@l-partner.co.jp>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「202214030018121B260E9DEF$32ED50E17D@l-partner.co.jp>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from unknown (HELO node2) (info@l-partner.co.jp@20.196.210.166)」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
まず差出人のメールアドレスにあったドメイン”l-partner.co.jp”のIPアドレスなどを 取得してみます。  持ち主は「株式会社ロジスティクス・パートナー」という企業さん。 このドメインを割り当てエチルのは”35.73.31.138”というIPアドレス。 これが”Received”にあったIPアドレス”20.196.210.166”と比較すると全く異なったものと なっていますよね。 本来なら同じでなければならないのでこのメールアドレスは偽物と判断でき偽装が行われた 事が考えられます。 この持ち主の企業もある意味被害者さんですよね。(^▽^;) では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。  表示された地図は、隣国の首都付近。 この付近に設置されているメールサーバーがこのメールを送ってきたことになります。
XSERVERの名前も?!気持ちの悪い中華フォントで書かれた本文を抜き出してみるとこんな感じ。 のKagoya Internet メールシステムは、不明と識別された13通のメールがあなたの メールアカウントに転送されるのをブロックしました。メッセージを確認して受信してから48時間以内にメールをどのように処理するかを選択します。 それ以外の場合、メールは完全に削除されます。 |
なぜ”の”から始まっているのかは不明…(笑) こんなメッセージで受信者が不安になるかどうかは別にして、差出人が求めるこのメールの 一番の目的は「隔離されたメッセージを確認する」と書かれたリンクを押させること。 そのリンク先のURLはこちら。  このサイトの危険性をノートンの「セーフウェブレポート」で確認してみると。 「警告」と表示され脅威のレポート欄には 「これは既知の危険な Web ページです。このページを表示しないことを推奨します。」 と書かれています。  行くなと言われると行きたくなるのが人情と言うもの。 安全な方法でこのサイトに接続してみると。。。  このように、リンク切れ画像の付けられたログインページが開きました。 怖すぎるのでログインしませんでしたが、この先に行くとどうなっているのでしょうか? このサイトのURLで使われているドメインは”dm1k.com” このドメインを割当てているIPアドレスは”157.112.176.65”  このIPアドレスの所在を確認してみるとこのような情報が得られました。  このIPアドレスは国内の有名レンタルサーバーの”XSERVER”さんが現在取得中で ”XSERVER”のユーザーが利用していると思われます。 そのサーバー名は”sv864.xserver.jp”であるところまで確認できました。
まとめこれを受け取ったアドレスは、”info@*****.***”ってうちの事務所のinfoアカウント。 これ以外にも、adminアカウントにも同じものが届いているので、ありがちなアカウント名宛に 適当に送っているものと思われます。 カゴヤさんに成りすましているのと本文の内容からすると、サーバー管理者を狙った詐欺で ログイン画面からサーバー管理者のアカウントを盗み出そうとしているものと思われます。 差出人の目的は、サーバーを乗っ取り、乗っ取ったサーバーで詐欺サイトの構築すると共にその サーバーで詐欺メールを送ること。 ここに出てきたXSERVERのユーザーも乗っ取られた可能性大です。 お金が儲かるわけでもなく、そんなことして何が楽しいんでしょうね。。。 よくわかりませんわ。(;^_^A いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |