ブログ - Actie vereist: uw mailbox staat op het punt vol te raken. というwhoisプロテクションからの転送メール
Actie vereist: uw mailbox staat op het punt vol te raken. というwhoisプロテクションからの転送メール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/9/6 2:27
お名前.comのWhois情報公開代行サービスというのを使っているのだけれど,管理しているドメインへの連絡先も代行で受けてくれて転送されてくることになっています.
そして今回初めて転送されてきたのがこのメール.
何書いてあるかわからんので,DeepLで翻訳.
引用: ドイツ語なのね.誘導先のFQDNはchina-in-europe.netとなっているけれど,このindexx.htmlとドメインのパラメータがついたURLにアクセスしてみた.
毎度のことながら,Microsoft Defender SmartScreenだとこの画面が出ますね.Google ChromeやFirefoxだと警告なく普通にアクセスできてしまいます.
警告を無視して構わずアクセスすると,こんなページに.
トップページにアクセスするとこんな感じ.
引用: CHERNのサイトにindexx.htmlファイルとその仲間?を仕込まれている感じかなぁ.
件名の"Actie vereist: uw mailbox staat op het punt vol te raken."で検索すると,このようなページに辿り着きました.
Spam sent via our RSS feed email address
https://podnews.net/article/spammers
送信者や件名が同じですね.
本文を見てみます.
全く一緒ですね.
セキュリティ評価サイトを使ってみてみます.
まずは,VirusTotal.
そして次にSymantec SiteReview.
最後にSUCURI.
どれも評価的には問題ないとされていますね.
次にメールヘッダを確認してみる.
大塚商会のメールサーバから出されているので,SpamAssassinでも警告は出なかった模様.
Fromのアドレスにあったshibacoffeというサイトにアクセスしてみる.
現在使われてない模様.
Web Archiveを使って過去の情報を確認.
これをみると,2021年末まで稼働していて,オンラインショップへ誘導されているのが最後の模様.
ということでオンラインショップを確認してみる.
動作中の模様.
古いサイトは手放したのかな?と思ったので,shibacoffeeのwhoisを確認してみる.
ドメインは継続されている模様.ここでネームサーバが,先程の大塚商会の管理しているサーバを示している事がわかるので,このshibacoffeeは大塚商会のサービスを使っている模様.
絶対的に怪しいという証拠は出ないのだけれど,日本の個人商店のコーヒー店がドイツ語でwhois情報の連絡先にメールボックスの件についてメールしてくるとは思えないので,これはスパムということで整理できます.
コーヒー店からのメールはヘッダを見る限り正式に送信されているように見えるけれど,アルファメールを騙る不審なメールがたくさん届いている模様.
【注意喚起】不審なメールについて 【9/2 11:45更新】
https://www.alpha-mail.jp/new/service/2022/0902_13438.html
そして今回初めて転送されてきたのがこのメール.
何書いてあるかわからんので,DeepLで翻訳.
引用:
Actie vereist: uw mailbox staat op het punt vol te raken.
(3) eingehende E-Mails konnten nicht zugestellt werden.
Bitte gehen Sie zum Nachrichtencenter, um fehlgeschlagene Nachrichten abzurufen.
メールボックスが空いたままになっています。
(3) 受信したメールが届かなかった。
失敗したメッセージは、メッセージセンターで取り出してください。
毎度のことながら,Microsoft Defender SmartScreenだとこの画面が出ますね.Google ChromeやFirefoxだと警告なく普通にアクセスできてしまいます.
警告を無視して構わずアクセスすると,こんなページに.
トップページにアクセスするとこんな感じ.
引用:
CHRNはもともと、ブリストル大学とアムステルダム自由大学(VU)の研究者グループのイニシアチブでした。VUから投与され、現在40カ国以上から約250人の研究者で構成されています。その中には、政治経済学、経済学、社会学、経営学、政治学、国際関係学、人類学、歴史学、文化研究、政策研究の専門家がいます。CHENの軌道には、現在中国・イン・ヨーロッパに取り組んでいる多くの有力な研究者と、他の世界地域における中国の関与に比較的取り組んできた少数の研究者が含まれています。この後者のグループには、中国からの2人の主要な学者と米国からの2人の主要な学者が含まれています。
CHRNは、議長のナナ・デ・グラフ(VU)と副議長のジェフリー・ヘンダーソン(ブリストル)と、ワーキンググループやその他の運営に責任を持つ他の人々からなるコアグループによって管理されています。
件名の"Actie vereist: uw mailbox staat op het punt vol te raken."で検索すると,このようなページに辿り着きました.
Spam sent via our RSS feed email address
https://podnews.net/article/spammers
送信者や件名が同じですね.
本文を見てみます.
全く一緒ですね.
セキュリティ評価サイトを使ってみてみます.
まずは,VirusTotal.
そして次にSymantec SiteReview.
最後にSUCURI.
どれも評価的には問題ないとされていますね.
次にメールヘッダを確認してみる.
大塚商会のメールサーバから出されているので,SpamAssassinでも警告は出なかった模様.
Fromのアドレスにあったshibacoffeというサイトにアクセスしてみる.
現在使われてない模様.
Web Archiveを使って過去の情報を確認.
これをみると,2021年末まで稼働していて,オンラインショップへ誘導されているのが最後の模様.
ということでオンラインショップを確認してみる.
動作中の模様.
古いサイトは手放したのかな?と思ったので,shibacoffeeのwhoisを確認してみる.
# whois.verisign-grs.com
Domain Name: SHIBACOFFEE.COM
Registry Domain ID: 1704629497_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.discount-domain.com
Registrar URL: http://gmo.jp
Updated Date: 2022-02-12T17:01:11Z
Creation Date: 2012-02-29T06:00:21Z
Registry Expiry Date: 2023-02-28T06:00:21Z
Registrar: GMO Internet, Inc. d/b/a Onamae.com
Registrar IANA ID: 49
Registrar Abuse Contact Email: abuse@gmo.jp
Registrar Abuse Contact Phone: +81.337709199
Domain Status: ok https://icann.org/epp#ok
Name Server: AMDNS03.ALPHA-MAIL.JP 🈁
Name Server: KOTETSU.ALPHA-LT.NET
Name Server: TSUKUBA.AICS.NE.JP
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2022-09-05T16:47:12Z <<<
絶対的に怪しいという証拠は出ないのだけれど,日本の個人商店のコーヒー店がドイツ語でwhois情報の連絡先にメールボックスの件についてメールしてくるとは思えないので,これはスパムということで整理できます.
コーヒー店からのメールはヘッダを見る限り正式に送信されているように見えるけれど,アルファメールを騙る不審なメールがたくさん届いている模様.
【注意喚起】不審なメールについて 【9/2 11:45更新】
https://www.alpha-mail.jp/new/service/2022/0902_13438.html
