知らない人から「平素は T3 サービスをご利用いただき、誠にありがとうございます。」というメールが来たので調べてみた
概要
更新履歴
- 2024/03/13 初版
目次
はじめに
このドキュメントはメール管理者の私に,メール管理者になりすまして「設定確認のお願い 」というメール送信し,不正サイト にログインさせようとしているので,誘導先のドメインやその転送先を調べて何をしようとしているのか考えてみた.管理の行き届いてないアパレル会社が使っているGMOのサーバが乗っ取られてメールが送信されており,誘導先のWebサイトは米国の宝石鑑定業者のサーバで,これも乗っ取られ ており,そこに設置されたプログラムによって,横浜のネットワーク会社,イージェーワークスがサービス提供し多数のプロバイダなどで使われているWebメーラのログ イン画面を模したフィッシングサイトを作り,メアドに関連づけられるパスワードを収集しようとしている.模様.
メールの確認
フィッシングメール本文
- 私の管理するメールサーバのメール管理者を装って,メールボックスの空き容量が少ないと警告するメールが到着.
- なんで管理者の私に来るのだろう.
- XXX.jp メール (
(某SNSで漏洩したメアド@XXX.jp) の設定確認のお願い
お客さま各位
平素は T3 サービスをご利用いただき、誠にありがとうございます。
このたび、 XXX.jp メール(
(某SNSで漏洩したメアド@XXX.jp)のセキュリティー強化のため、メールソフトの設定値を変更いたします。
メールソフトの設定をご確認の上、今後も利用できる設定値への変更をお願いいたします。
メールソフトの設定を確認・変更する方法は、以下リンク先をご参照ください。
メールソフトの設定を確認・変更する方法
https://jewelryprofessionalappraisals.com/webmailb/Earthcore/?uid=某SNSで漏洩したメアド@XXX.jp
今後とも T3 サービスをご愛顧いただきますよう、よろしくお願いいたします。 - T3サービスで調べると,株式会社ラックのT3(Targeted Threat mail Training)に辿り着く.
- ラックのT3はリンク先は「標的型攻撃メール訓練 T3」なので今回のものとは関係ない.
- 標的型攻撃メール訓練 T3
- https://www.lac.co.jp/consulting/mailtraining_t3.html
- これ訓練?w
- UIDの後にメアドが設定されているので仕組みが分かり易いタイプ.
メールヘッダの確認
- メールヘッダは次の通り.
- まずはメールヘッダの一番外側のIPアドレスを調べる.
$ curl -s ipinfo.io/153.122.136.221🆑
{
"ip": "153.122.136.221",
"hostname": "gim.co.jp",
"city": "Tokyo",
"region": "Tokyo",
"country": "JP",
"loc": "35.6895,139.6917",
"org": "AS131921 GMO GlobalSign Holdings K.K.",
"postal": "101-8656",
"timezone": "Asia/Tokyo",
"readme": "https://ipinfo.io/missingauth"
}
$
- GMOのサーバで稼働している日本の企業の株式会社ジムのものだとわかる.
- メールサーバ(MXレコード)を調べる.
$ dig mx gim.co.jp🆑
; <<>> DiG 9.10.6 <<>> mx gim.co.jp
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59364
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;gim.co.jp. IN MX
;; ANSWER SECTION:
gim.co.jp. 300
IN MX 30 vs.mailsystems.net.🈁
gim.co.jp. 300 IN MX 50 gim.co.jp.🈁
;; Query time: 15 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Mar 13 10:35:35 JST 2024
;; MSG SIZE rcvd: 88
$
- これでみるとMXレコードの優先順位が低い(50)の方からメールが送られてきている.
- それぞれのMXレコードのIPアドレスを調べる.
- まずは1つ目.
$ dig vs.mailsystems.net🆑
; <<>> DiG 9.10.6 <<>> vs.mailsystems.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 648
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;vs.mailsystems.net. IN A
;; ANSWER SECTION:
vs.mailsystems.net. 1882 IN A 150.95.44.50🈁
;; Query time: 8 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Mar 13 10:36:44 JST 2024
;; MSG SIZE rcvd: 63
$
- 次に2つ目.
$ dig gim.co.jp🆑
; <<>> DiG 9.10.6 <<>> gim.co.jp
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29919
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;gim.co.jp. IN A
;; ANSWER SECTION:
gim.co.jp. 176 IN A 153.122.136.221🈁
;; Query time: 10 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Mar 13 10:36:16 JST 2024
;; MSG SIZE rcvd: 54
$
- 間違いなく,(MXレコード)2番目のメールサーバから送信されている.
- メールサーバのテキストレコードを調べる.
$ dig txt gim.co.jp🆑
; <<>> DiG 9.10.6 <<>> txt gim.co.jp
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29387
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;gim.co.jp. IN TXT
;; ANSWER SECTION:
gim.co.jp. 2770
IN TXT "v=spf1 +ip4:153.122.136.221
+ip4:211.8.145.60 ~all"🈁
;; Query time: 9 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Mar 13 10:35:49 JST 2024
;; MSG SIZE rcvd: 102
$
- SPFレコードは設定してあるが,DMARCレコードはない模様.
- さらに第3のIPアドレス(
211.8.145.60
)が出てきた. - 第3のIPアドレスを調べてみる.
$ whois 211.8.145.60🆑
[ JPNIC database provides information regarding IP address and ASN. Its use ]
[ is restricted to network administration purposes. For further information, ]
[ use 'whois -h whois.nic.ad.jp help'. To only display English output, ]
[ add '/e' at the end of command, e.g. 'whois -h whois.nic.ad.jp xxx/e'. ]
Network Information: [B%M%C%H%o!<%/>pJs]
a. [IPB%M%C%H%o!<%/%"%I%l%9] 211.8.145.0/24
b. [B%M%C%H%o!<%/L>] YELLOTECH
f.
[BAH?%L>]
B%$%(%m%F%C%/!!9gF12q<R
g. [Organization] Yellotech LLC🈁
m. [B4IM}<TO"MmAk8}] KK82650JP
n. [B5;=QO"MmC4Ev<T] KK82650JP
o. [Abuse]
p. [B%M!<%`%5!<%P] ns10.hostpro.ne.jp
p. [B%M!<%`%5!<%P] ns20.hostpro.ne.jp
[B3dEvG/7nF|]
2021/06/22
[BJV5QG/7nF|]
[B:G=*99?7]
2022/01/20
08:38:02(JST)
B>e0L>pJs
----------
B%=%U%H%P%s%/3t<02q<R (SoftBank Corp.)
[B3d$j?6$j]
211.8.0.0/16
B2<0L>pJs
----------
B3:Ev$9$k%G!<%?$,$"$j$^$;$s!#
$
- 該当IPアドレスにWebブラウザでアクセス.
- 何かやっている途中?
- whois情報にYellotech LLCとあったので調べてみた.
- 最小限の会社案内.
- 会社概要を見てみると衝撃.
- PDFだった...
- 脱線したので,戻るためにSKYSNAGでメールサーバの設定をチェックしてみた.
- この状態だとgmailにメール送信できないかもしれないね.
- それよりは,今回の場合,なりすまされているのではなくて,乗っ取られている可能性があります.
- メールサーバのオープンリレーをチェック.
- オープンリレーとはなってない模様.問題なし.
- つまり,サーバの中から送信されている.
- メールサーバ上で稼働しているWebサーバを調査.
$ dig www.gim.co.jp🆑
; <<>> DiG 9.10.6 <<>> www.gim.co.jp
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21137
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.gim.co.jp. IN A
;; ANSWER SECTION:
www.gim.co.jp.
300 IN A
211.8.145.60🈁
;; Query time: 13 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Mar 13 11:01:35 JST 2024
;; MSG SIZE rcvd: 58
$
- メールサーバとWebサーバのIPアドレスが同一なので,例えばWebサーバの脆弱性から侵入されている可能性がある.
誘導先のサイトを調査
誘導先のサイトにアクセスしてみる
- メール本文にあったURLパラメータの後半部分を以下のように出鱈目に加工してアクセス.
- すると次のようなページに転送された.
- 出鱈目なパスワードを入力してみる.
- すぐエラーメッセージが消えて元の画面に戻る.
- もう一度出鱈目なパスワードを入力.
- メールドメインのFQDNへ転送される模様.この場合は存在しないのでDNSエラーになっている.
- この状況から,パスワードを2回入力させて情報を窃取していると考えられる.
Webサイトの第三者評価を確認
- Web Plusで確認.
- VirusTotalで確認.
- 誘導先のサイトも,表面上は通常のサービスを提供している風に見える.
- ソースコードを確認してみる.
- ドットJPドメインへのリンクが確認できた.
- アクセスしてみる.
- Webメーラのログイン画面が確認できた.
- earth-core.jpを検索してみる.
- さまざまなネットワーク業者が提供しているWebメーラの模様.
- ドメイン情報を確認.
$ whois earth-core.jp🆑
[ JPRS database provides information on network administration. Its use is ]
[ restricted to network administration purposes. For further information, ]
[ use 'whois -h whois.jprs.jp help'. To suppress Japanese output, add'/e' ]
[ at the end of command, e.g. 'whois -h whois.jprs.jp
xxx/e'.
]
Domain Information: [ドメイン情報]
[Domain
Name]
EARTH-CORE.JP
[登録者
名]
株式会社イージェーワークス
[Registrant]
ejworks corporation
[Name
Server]
ns-99.awsdns-12.com
[Name
Server]
ns-1020.awsdns-63.net
[Name
Server]
ns-1389.awsdns-45.org
[Name
Server]
ns-1728.awsdns-24.co.uk
[Signing Key]
[登録年月
日]
2010/12/17
[有効期
限]
2024/12/31
[状
態]
Active
[最終更
新]
2024/01/01 01:05:04 (JST)
Contact Information: [公開連絡窓口]
[名
前]
株式会社イージェーワークス
[Name]
ejworks
corporation
[Email]
isp-regist@ejworks.com
[Web Page]
[郵便番
号]
220-0011
[住
所]
神奈川県横浜市西区高島
1-2-5
横濱ゲートタワー18F
[Postal Address] 18F 1-2-5
Takashima
Nishi-ku
Yokohama
Kanagawa
Japan
[電話番
号]
045-522-2879
[FAX番号]
$
- イージェーワークスは昔間接的にお世話になったネットワーク業者だ.リムネットの営業権を持っているのね.熱い.懐い.
- リムネットとなると迷惑メールの本文にあった「平素は T3 サービスをご利用いただき、誠にありがとうございます。」のT3の意味が変わってきて,東京第3ドメインを示していることになる...