見出し画像

20240524-A(FW: イオンカードからの重要なセキュリティ更新 【重要】 8:34:29 AM CDT:フィッシングメール)

ヒル

◆提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの追跡をしてください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。因みに、niftyのメールサーバーのホスト名とIPアドレスは、これです。
・IPアドレス:106.73.193.32
・ホスト名:M106073193032.v4.enabler.ne.jp
「Return-Path:
hudsonc3ugraham+SRS=a5wVd=MY=oracle.com=OPCNS-BOUNCES-US6_WW@hotmail.com
Received:
from ifmta0006.nifty.com
by ibmta0006.nifty.com
with ESMTP
id 20240521133442384.DQBV.104151.ifmta0006.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Tue, 21 May 2024 22:34:42 +0900
Received:
from BRA01-ROA-obe.outbound.protection.outlook.com([40.92.96.75])
by ifmta0006.nifty.com
with ESMTP
id 20240521133441311.BEKV.97505.BRA01-ROA-obe.outbound.protection.outlook.com@nifty.com
for xxxxxxx@xxxxx.nifty.ne.jp;
Tue, 21 May 2024 22:34:41 +0900
Received:
from CP5P284MB2059.BRAP284.PROD.OUTLOOK.COM (2603:10d6:103:1f3::16)
by CP5P284MB1726.BRAP284.PROD.OUTLOOK.COM (2603:10d6:103:f3::14)
with Microsoft
SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)
id 15.20.7587.36;
Tue, 21 May 2024 13:34:35 +0000
Received:
from CP5P284MB2059.BRAP284.PROD.OUTLOOK.COM ([::1])
by CP5P284MB2059.BRAP284.PROD.OUTLOOK.COM ([fe80::8b56:ce22:45cd:9bd7%6])
with Microsoft
SMTP Server
id 15.20.7587.035;
Tue, 21 May 2024 13:34:35 +0000
Authentication-Results:
nifty.com; spf=pass smtp.mailfrom=hudsonc3ugraham+SRS=a5wVd=MY=oracle.com=OPCNS-BOUNCES-US6_WW@hotmail.com;
sender-id=pass header.From=hudsonc3ugraham@hotmail.com; dkim=pass header.i=@hotmail.com;
dkim-adsp=pass header.from=hudsonc3ugraham@hotmail.com
ARC-Seal:
i=1; a=rsa-sha256; s=arcselector9901; d=microsoft.com; cv=none;
b=MDvfk7FMaxbjBYjeQKSrzWF26z4gfrllsznjXx6jPrkCKOL64IhbmEhieny8Uvf/Ms1TRJdMMBzmCvOs995RUkFtAGT0wB2JgjpN5OXPpeTkVviaw3r6RQzxmkzxuN1RBYmXMy/h7NFWj/9hnPkGtoKgX28sCZbnuiq2X+/KuA6zUTOiqjCmUhaVbDHhLVAAVa3jmS3PjmNEDcxdky10snuE+SBnWhcbyQg2AGnFET/ICV+cwHDuN40VtFHaW7Epo3bCbGUU3H4KiCzZ42cUqIDbzIrKfS7IcaohzOfh05fp34sZadCNJdJhgBnP81QhPATD1CmD8Bfnlf/heEaTGg==
ARC-Message-Signature:
i=1; a=rsa-sha256; c=relaxed/relaxed; d=microsoft.com; s=arcselector9901;
h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-AntiSpam-MessageData-ChunkCount:X-MS-Exchange-AntiSpam-MessageData-0:X-MS-Exchange-AntiSpam-MessageData-1;
bh=mezSQOuEIZzaOKapY1lm9bQq71Ay7Bq6Ti6lJiep7Kk=;
b=AfR34y61CNEhphKwClyxbihit4oWTm89MeG5mOJzLTtXKlZGmEcuq87KWYYeA7E41PYRTHGD0QU7wFwaB+74d28ylrg5DLIl0ZEdkJbE66qpAtxEDGWzEBY80XmD7EkFLKvjD91jtppvGysbcrCSCNwkLbjvtjGRFda26n5tK3N/vp6SeNB+licvNdXhsYXXDhomyny/B6G7gIjouHRjJ1ZYShjiQGBTNsdmknJRXo020X3INn98mE5Y9J9GdedXALAjfaJdgIm6d/S/w695Owf9IDtZqTy8BAyP5z0hmE2S8lZ6ee6Bm4igsFAXWzJ1uojgdXoOrCWdXG07NJ/QRA==
ARC-Authentication-Results:
i=1; mx.microsoft.com 1; spf=none; dmarc=none; dkim=none; arc=none
DKIM-Signature:
v=1; a=rsa-sha256; c=relaxed/relaxed; d=hotmail.com; s=selector1;
h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
bh=mezSQOuEIZzaOKapY1lm9bQq71Ay7Bq6Ti6lJiep7Kk=;
b=WTce8IZYjtAPqnDAw+yqPOJwCCssltWh7hz9yWFBmcJ5V8l7DrEDLvZYRwSYbM+Ac8hcmtwlLmFgwXvd/qtGNCel6qVo8X3KX/iNYHOIjZrmX4wUlOVQdkIS3u3j0ycZe5VSkw8Z1qKN6mFYwsVsyeWo1Ct4OsocHPuuB0eftDKFe/RWym5tozn5YZQRj3GW88r5oRtkvldzbfO0IwXpZLd7vX7W8B/Ehi/xbteIxto4TZsnpNBFZSSngsqVbnR7u+h+6tmkG9tIqE/B8q2UgoHMrpXelc2MNb2Hv2B24CkOGtS1mudP87JwM4rBj/Ck8wKQf55Vk7LoAUQPJJlcJQ==
From:
Hudson Graham hudsonc3ugraham@hotmail.com
To:
hiroyuki@a.toshima.ne.jp hiroyuki@a.toshima.ne.jp,
hiroyuki@mx1.fctv.ne.jp hiroyuki@mx1.fctv.ne.jp,
hiroyuki@marubishi-j.com hiroyuki@marubishi-j.com,
hiroyuki-s@shigen-co.com hiroyuki-s@shigen-co.com,
hirozi@bc9.jp hirozi@bc9.jp,
xxxxxxxx@xxxxx.nifty.ne.jp xxxxxxxx@xxxxx.nifty.ne.jp,
his_raptor@nike.eonet.ne.jp his_raptor@nike.eonet.ne.jp,
his55@po.synapse.ne.jp his55@po.synapse.ne.jp,
hisahal@crest.ocn.ne.jp hisahal@crest.ocn.ne.jp
Subject:
FW: イオンカードからの重要なセキュリティ更新 【重要】 8:34:29 AM CDT
Thread-Topic:
イオンカードからの重要なセキュリティ更新 【重要】 8:34:29 AM CDT
Thread-Index:
・・・・
21 May 2024 13:34:35.6676 (UTC)
X-MS-Exchange-CrossTenant-fromentityheader:
Hosted
X-MS-Exchange-CrossTenant-id:
84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa
X-MS-Exchange-Transport-CrossTenantHeadersStamped:
CP5P284MB1726」

メールヘッダーの詳細な分析

1. Received 行の調査

1.1. Received ヘッダーの解析

  1. Received: from ifmta0006.nifty.com by ibmta0006.nifty.com

    • サーバー: ifmta0006.nifty.com

    • 時間: Tue, 21 May 2024 22:34:42 +0900

    • 受信者: xxxxxxxx@xxxxx.nifty.ne.jp

  2. Received: from BRA01-ROA-obe.outbound.protection.outlook.com ([40.92.96.75]) by ifmta0006.nifty.com

    • 送信元: BRA01-ROA-obe.outbound.protection.outlook.com (40.92.96.75)

    • 時間: Tue, 21 May 2024 22:34:41 +0900

    • 受信者: xxxxxxxx@xxxxx.nifty.ne.jp

  3. Received: from CP5P284MB2059.BRAP284.PROD.OUTLOOK.COM (2603:10d6:103:1f3::16) by CP5P284MB1726.BRAP284.PROD.OUTLOOK.COM (2603:10d6:103:f3::14)

    • 送信元: CP5P284MB2059.BRAP284.PROD.OUTLOOK.COM (2603:10d6:103:1f3::16)

    • 受信者: CP5P284MB1726.BRAP284.PROD.OUTLOOK.COM (2603:10d6:103:f3::14)

    • 時間: Tue, 21 May 2024 13:34:35 +0000

  4. Received: from CP5P284MB2059.BRAP284.PROD.OUTLOOK.COM ([::1]) by CP5P284MB2059.BRAP284.PROD.OUTLOOK.COM ([fe80::8b56:ce22:45cd:9bd7%6])

    • 送信元: CP5P284MB2059.BRAP284.PROD.OUTLOOK.COM ([::1])

    • 受信者: CP5P284MB2059.BRAP284.PROD.OUTLOOK.COM ([fe80::8b56:ce22:45cd:9bd7%6])

    • 時間: Tue, 21 May 2024 13:34:35 +0000

2. IPアドレスの追跡

2.1. IP 40.92.96.75

  • プロバイダー: Microsoft Corporation

  • 場所: アメリカ合衆国

  • 使用: Outlook サーバーの一部

2.2. IP 2603:10d6:103:1f3::16

  • プロバイダー: Microsoft Corporation

  • 場所: アメリカ合衆国

  • 使用: Outlook サーバーの一部

2.3. IP 2603:10d6:103:f3::14

  • プロバイダー: Microsoft Corporation

  • 場所: アメリカ合衆国

  • 使用: Outlook サーバーの一部

3. SPFとDKIMの結果

3.1. SPF

  • 結果: pass

  • 詳細: `smtp.mailfrom=hudsonc3ugraham+SRS=a5wVd=MY=oracle.com=OPCNS-BOUNCES-US6_WW@hotmail.com` からのメールは、送信元IPアドレスが許可されていることを示しています。

3.2. DKIM

  • 結果: pass

  • 詳細: `header.i=@hotmail.com` から送信されたメールが有効であることを確認しています。

4. セキュリティ上の懸念

  • SPFとDKIMの結果がpassであるため、メールの送信元が正当である可能性が高いですが、フィッシングの可能性は完全には排除できません。

  • 送信元ドメイン(hotmail.com)は、信頼性が高いドメインですが、スパムやフィッシングメールに利用されることもあります。

5. 送信元ドメインの信頼性評価

  • hotmail.com は、Microsoftが提供する無料のメールサービスです。多くのユーザーに利用されており、信頼性は高いです。ただし、無料メールサービスはスパムやフィッシングメールに利用される可能性があるため、注意が必要です。

結論

  • メールの送信元ドメインは信頼性があるものの、メールの内容とリンクの確認が必要です。

  • メールに記載されたリンクをクリックせず、公式サイトや信頼できる情報源から直接確認することをお勧めします。

  • 総務省に転送して、フィッシングメールとして報告することは非常に良い対策です。

他にご質問や追加の確認が必要な点があれば、いつでもお知らせください。

◆テキスト部分はこれ。

From: Oracle message-service@sender.zohobooks.com
Sent: Tuesday, May 21, 2024 9:34:30 AM (UTC-05:00) Eastern Time (US & Canada)
To: hudsonc3ugraham@hotmail.com hudsonc3ugraham@hotmail.com
Subject: イオンカードからの重要なセキュリティ更新 【重要】 8:34:29 AM CDT

【イオンカード】利用いただき、ありがとうございます ..........

こちらは三井住友カードのカスタマーサポートセンターです ..............

欢迎使用 Outlook!我们的电子邮件服务旨在帮助你完成一天的工作。跨设备免费连接、组织和完成工作获取免费 Outlook 移动应用
适用于 iOS 和 Android 的 Outlook 应用均为免费。它们让使用各种电子邮件帐户和日历变得简单一致!
在 Web 上免费使用 Word、Excel、PowerPoint 和 OneDrive
使用新的 Microsoft 帐户直接在 Outlook 中免费使用 Microsoft 365 在 Web 上执行更多操作。免费存储在 OneDrive 中保存所有重要照片、视频和文档。
免费使用 Microsoft 365 https://go.microsoft.com/fwlink/?linkid=2243723
编写更好的电子邮件
・・・・
こちらは三井住友カードのカスタマーサポートセンターです ..............

欢迎使用 Outlook!我们的电子邮件服务旨在帮助你完成一天的工作。跨设备免费连接、组织和完成工作获取免费 Outlook 移动应用
适用于 iOS 和 Android 的 Outlook 应用均为免费。它们让使用各种电子邮件帐户和日历变得简单一致!
在 Web 上免费使用 Word、Excel、PowerPoint 和 OneDrive
使用新的 Microsoft 帐户直接在 Outlook 中免费使用 Microsoft 365 在 Web 上执行更多操作。免费存储在 OneDrive 中保存所有重要照片、视频和文档。
免费使用 Microsoft 365 https://go.microsoft.com/fwlink/?linkid=2243723
编写更好的电子邮件
使用所有 Outlook 中内置的 Microsoft 编辑器的高级 AI,在输入时获得建议,以编写具有影响力、清晰且无错误的消息。
个性化 Outlook 的样式
选择独特的主题,在深色模式下使用 Outlook,并创建理想的布局,让你的收件箱外观和操作方式符合你的要求。
选择主题 https://go.microsoft.com/fwlink/?linkid=2243448 更改收件箱布局 https://go.microsoft.com/fwlink/?linkid=2243827
一站式使用电子邮件和日历
Outlook 的内置日历和待办事项列表可跟踪约会和事件,以帮助你有时间优先考虑人们和生活中的宝贵事件,甚至创建共享的家庭日历。
访问日历 https://go.microsoft.com/fwlink/?linkid=2243449
在需要时查找所需内容
Outlook 中的通用搜索可帮助你快速查找任何消息、联系人或文档。使用文件夹、固定或标记电子邮件和存档来帮助你保持井然有序 , 甚至清除并永久阻止来自不需要的发件人的邮件。
自定义快速操作以保持井然有序 https://go.microsoft.com/fwlink/?linkid=2243634
以企业级安全性为后盾
信任 Microsoft 的安全性,以帮助防止电子邮件、文档和保存的内存免遭网络钓鱼和欺诈。Outlook 全天候工作以帮助保护数据。
保持受保护 https://go.microsoft.com/fwlink/?linkid=2243828
隐私声明 http://go.microsoft.com/fwlink/?LinkId=521839
Microsoft Corporation, One Microsoft Way, Redmond, WA 98052
你收到了此欢迎通知,因为你创建了 Outlook.com 帐户」

メールのテキスト部分の分析

メールの内容

  1. 送信者情報

    • From: Oracle message-service@sender.zohobooks.com

    • Sent: Tuesday, May 21, 2024 9:34:30 AM (UTC-05:00) Eastern Time (US & Canada)

    • To: hudsonc3ugraham@hotmail.com

    • Subject: イオンカードからの重要なセキュリティ更新 【重要】 8:34:29 AM CDT

  2. 本文内容

    • イオンカードの利用に関するセキュリティ更新についての通知。

    • 三井住友カードのカスタマーサポートセンターからの案内。

    • アカウント確認を促すリンクが含まれている。

    • Microsoft Outlookの宣伝や利用案内が英語と中国語で含まれている。

フィッシングメールの疑い

  1. 送信者情報の不一致

    • 送信者: Oracle message-service@sender.zohobooks.com は Oracle からのメールを装っているが、内容はイオンカードに関するもの。

  2. リンクの不審

    • リンク: https://peanninew.github.io/na/?Tfl0dzlkQMEYj6YdrK3jL5zHSpAGj0OVox4xI7p0i3U%3D

    • GitHub Pages上のリンクは公式サイトとは言えず、非常に疑わしい。

  3. 言語の混在

    • 日本語、英語、中国語が混在しており、公式なメールとしては不自然。

  4. 過剰な緊急性の強調

    • 「カードのご利用制限が継続される」といった脅しの表現が見られる。

  5. 誤字や不自然な日本語

    • 「ヘアクセス」「いただきたくお願い申しあげます」などの誤字が含まれている。

推奨される対策

  1. リンクをクリックしない

    • メール内のリンクはクリックしないでください。

  2. 公式サイトで確認

    • イオンカードや三井住友カードの公式サイトに直接アクセスして、アカウントやカードの状況を確認する。

  3. メールを削除

    • このメールは無視して削除することをお勧めします。

  4. フィッシングメールとして報告

    • このメールを総務省に転送してフィッシングメールとして報告する。

総括

このメールはフィッシングメールである可能性が非常に高いです。公式サイトを直接確認し、不審なメールやリンクには十分注意してください。何か他にご質問や不明な点があれば、いつでもお知らせください。

◆html記述はこれ。ブラウザ画面はこれ。
「<html> <head> <meta http-equiv="Content-Type" content="text/html; charset=gb2312"> <style type="text/css"> <!-- div > font {opacity:0.01; display:table-column} --> </style> </head> <body> <strong> <div><font face="Tahoma" color="#000000" size="2">&nbsp;</font></div> </strong> <hr tabindex="-1" style="display:inline-block; width:98%"> <font face="Tahoma" size="2"><b>From:</b> Oracle &lt;message-service@sender.zohobooks.com&gt;<br> <b>Sent:</b> Tuesday, May 21, 2024 9:34:30 AM (UTC-05:00) Eastern Time (US &amp; Canada)<br> <b>To:</b> hudsonc3ugraham@hotmail.com &lt;hudsonc3ugraham@hotmail.com&gt;<br> <b>Subject:</b> イオンカードからの重要なセキュリティ更新 【重要】 8:34:29 AM CDT<br> </font><br> <div></div> <div> <blockquote style="height:0px; overflow:hidden">【イオンカード】利用いただき、ありがとうございます .......... <div style="background-color:#F1F1F1"> <table cellpadding="0" cellspacing="0" style="border-collapse:collapse; width:640px"> <tbody> <tr> </tr> <tr> </tr> <tr class="x_header-font"> <td colspan="2" style="padding:0px 0px 0px 28px; text-align:left"> <table style="width:100%"> <tbody> <tr class="x_header-font"> <td style="padding:0px 0px 0px 36px; text-align:left; width:270px"> <div style="font-size:40px; font-weight:600; line-height:53px">&nbsp;</div> <div style="font-size:16px; font-weight:400; line-height:21px">こちらは三井住友カードのカスタマーサポートセンターです ..............</div> </td>
・・・・
・ <td class="x_section-header">以企业级安全性为后盾</td> </tr> <tr> <td class="x_section-text">信任 Microsoft 的安全性,以帮助防止电子邮件、文档和保存的内存免遭网络钓鱼和欺诈。Outlook 全天候工作以帮助保护数据。</td> </tr> <tr> <td><a class="x_section-link" href="https://go.microsoft.com/fwlink/?linkid=2243828">保持受保护 </a></td> </tr> </tbody> </table> <table cellpadding="0" cellspacing="0" style="border-collapse:collapse; margin-top:15px; width:100%"> <tbody> <tr style="padding-bottom:10px"> <td style="padding-bottom:10px"><a href="http://go.microsoft.com/fwlink/?LinkId=521839" style="color:#5a5a5a">隐私声明 </a></td> </tr> <tr> <td>Microsoft Corporation, One Microsoft Way, Redmond, WA 98052</td> </tr> <tr style="padding-bottom:10px"> <td style="padding-bottom:10px">你收到了此欢迎通知,因为你创建了 Outlook.com 帐户 &nbsp;</td> </tr> <tr> </tr> </tbody> </table> </div> </blockquote> </div> </body> </html> 」

メールイメージ

メールのHTMLおよびテキスト部分の分析

メールヘッダーの詳細

送信者情報:

From: Oracle <message-service@sender.zohobooks.com>
Sent: Tuesday, May 21, 2024 9:34:30 AM (UTC-05:00) Eastern Time (US & Canada)
To: hudsonc3ugraham@hotmail.com
Subject: イオンカードからの重要なセキュリティ更新 【重要】 8:34:29 AM CDT

テキストの内容

日本語部分:

【イオンカード】利用いただき、ありがとうございます。

このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。

つきましては、以下ヘアクセスの上、カードのご利用確認にご協力をお願い致します。お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。

何卒ご理解いただきたくお願い申しあげます。

ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい。

■ご利用確認はこちら<https://peanninew.github.io/na/?Tfl0dzlkQMEYj6YdrK3jL5zHSpAGj0OVox4xI7p0i3U%3D>

など ご不便とご心配をおかけしまして誠に申し訳ございませんが、

何とぞご理解賜りたくお願い申しあげます。

■発行者■

株式会社イオン銀行 東京都中野区中野432

AEON CREDIT SERVICE CO., Ltd.

無断転載および再配布を禁じます。

HTMLコードの確認

重要なリンク:

<a href="https://peanninew.github.io/na/?Tfl0dzlkQMEYj6YdrK3jL5zHSpAGj0OVox4xI7p0i3U%3D">■ご利用確認はこちら</a>

  • これは非常に疑わしいリンクで、公式サイトとは言えません。

フィッシングメールの特徴

  1. 送信者の不一致

    • Oracleからのメールを装っていますが、内容はイオンカードに関するものです。

    • 送信元メールアドレス(message-service@sender.zohobooks.com)は、Oracleやイオンとは関係がありません。

  2. 不自然なリンク

    • peanninew.github.ioは公式サイトではなく、フィッシングサイトの可能性が高いです。

  3. 言語の混在

    • 日本語の他に英語や中国語が混在しているため、公式なメールとしては不自然です。

  4. 緊急性の強調

    • 「カードのご利用制限が継続される」といった脅迫的な表現が使われています。

推奨される対策

  1. リンクをクリックしない

    • メール内のリンクは絶対にクリックしないでください。

  2. 公式サイトを確認

    • イオンカードや三井住友カードの公式サイトに直接アクセスして、アカウントやカードの状況を確認する。

  3. メールを削除

    • このメールは無視して削除することをお勧めします。

  4. フィッシングメールとして報告

    • このメールを総務省に転送してフィッシングメールとして報告してください。

結論

このメールはフィッシングメールである可能性が非常に高いです。公式サイトを直接確認し、不審なメールやリンクには十分注意してください。何か他にご質問や不明な点があれば、いつでもお知らせください。

◆そもそも「イオンカード」は持っていない。githubが何で引き合いに出るんだ?大陸系の中国語が混じるとか、バカ丸出しだろ。はーーー。 総務省に転送して、お終いにする。サンクス。

了解しました。それなら、フィッシングメールであることは確実ですね。総務省に転送して対策を取るのが最善の方法です。

何か他にお手伝いできることがあれば、いつでもお知らせください。気をつけてください。

この記事が気に入ったらサポートをしてみませんか?