【バージョンアップ】メンテナンス作業のお知らせ【2020年5月8日】というフィッシング詐欺メールを検証する


公開日:

【バージョンアップ】メンテナンス作業のお知らせ【2020年5月8日】という、フィッシング詐欺メールを検証します。

このメールは当社の名前で届いていますが、当社が送信したものではありませんからフィッシング詐欺メールであることはすでに確定しています。

サーバーメンテンナンスを実施するので、サービスをアップデートして欲しいという内容です。

文面は以下の通りです。

お客様各位

平素は 【Crossandcrown】 インターネットサービスをご利用いただき誠にありがとうございます。

サーバーのメンテナンスを実施しています。

以下のリンクに従ってサービスをアップグレードしてください

https://kingmotors.000webhostapp[.]com/wp-content/themes/mappro/twst.php?uid=example@crossandcrown.jp

Copyright (C) Crossandcrown Co.,Ltd. All Rights Reserved.

送信元を調べてみます。

 送信元はcrossandcrown.jpとなっており一見当社に見えますが、送信元メールアドレス、およびReturn-PathはMyJHp@ma.mrr.jpとなっており、当社のものとは異なります。

ma.mrr.jpはmrr.jpのサブドメインですので、mrr.jpのwhois情報を見てみます。

すると、

 富山県のプロバイダサービス会社のようです。

送信元サーバーを見てみます。

 IPアドレスは211.1.229.2となっており、ホスト名にwadax.ne.jpの文字が見えます。

このIPアドレスを調べてみると、

 GMOクラウドの、wadax用のIPアドレスのようでした。

次に、リンクの誘導先を調べてみます。

 となっており、

https://kingmotors.000webhostapp[.]com/wp-content/themes/mappro/twst.php?uid=example@crossandcrown.jp

へとリンクされているようです。

このページへアクセスしてみると、https://d15.lookme.com[.]tw/wp-content/uploads/2020/04/web/japan/login/webmail-op.jp/ へと転送され、リンク末尾のメールアドレスが渡されたwebメーラーの画面になります。

ソースコードを見てみます。

エックスサーバーの初期ドメインのファイルパスが見えます。

実際には外部のサイトのファイルへPOSTするようです。

ここで適当なアカウント入れても、POSTの際に指定されているファイルのURLを叩いてもいずれも同じ結果になりますが、https://webmail.earth-core[.]jp/ へとリダイレクトされます。

Roundcube【ラウンドキューブ】というwebメールの画面です

現れているwebメールの画面は、Roundcube【ラウンドキューブ】というwebメールの画面です。

webメーラーはブラウザからアクセスできるため、メーラーを持ち歩く感覚でどこでもアクセスできます。

そして、roundcubeのログインには、メールアカウントとパスワードが必要です。

メールアドレスの乗っ取りが目的

よって、メールアカウントとパスワードを窃取することが目的ではないかと考えられます。

というのは、たとえばexample.comというドメインがあった場合、メーラーの基本設定はpo3サーバーがポート110、SMTPサーバーがポート587、メールサーバー名も大方似たり寄ったりですからあとはメールアカウントとパスワードが分かれば、第三者がメールアドレスを事実上乗っ取ることが可能になります。

単にセカンドレベル、サードレベルドメインを抽出している可能性

さて、本件では、

平素は 【Crossandcrown】 インターネットサービスをご利用いただき誠にありがとうございます。

Copyright (C) Crossandcrown Co.,Ltd. All Rights Reserved.

のように、当社名であるcrossandcrownの文字列が用いられています。

しかし同様のタイトルでフィッシングメールが多発しているようで、その傾向を見ると送信した先のメールアドレスのセカンドレベルないしサードレベルドメインを抽出しているだけではないかと考えられます。

よって、このメールは「自社名であちこちにフィッシング詐欺メールが送信されている」といったものではなく、個々のメールアドレスのドメイン名に依存していると考えられます。

しかしながらプロバイダメールのように自社ドメインに紐づいたメールアドレスを多数の人が利用している場合、「自社名であちこちにフィッシング詐欺メールが送信されている」状態になり、かつメールアドレスとパスワードが窃取される危険があると考えられます。

関連記事



カテゴリ:
タグ:



関連記事