20240706-A(Re: Family Matters (xxxxxxxx@nifty.ne.jp):フィッシングメール)
◆メールイメージ
◆メールヘッダーの詳細な分析です。
1. "Received" ヘッダーの解析
ヘッダー1:
Received: from ifmta0009.nifty.com
by ibmta0009.nifty.com
with ESMTP
id <20240627125136697.JQIE.73541.ifmta0009.nifty.com@nifty.com>
for <xxxxxxxx@nifty.ne.jp>;
Thu, 27 Jun 2024 21:51:36 +0900IPアドレス: 不明 (内部サーバー間の転送)
日時: 2024年6月27日21:51:36 +0900
ヘッダー2:
Received: from server.wve.grv.mybluehost.me([142.4.25.179])
by ifmta0009.nifty.com
with ESMTP
id <20240627125135780.VSHS.62047.server.wve.grv.mybluehost.me@nifty.com>
for <xxxxxxxx@nifty.ne.jp>;
Thu, 27 Jun 2024 21:51:35 +0900server.wve.grv.mybluehost.me ([142.4.25.179]) からifmta0009.nifty.comへの受信
IPアドレス: 142.4.25.179
日時: 2024年6月27日21:51:35 +0900
ヘッダー3:
Received: from [46.183.222.65] (port=59141 helo=counsellor.com)
by server.wve.grv.mybluehost.me
with esmtpa (Exim 4.96.2) (envelope-from <victorchekn@counsellor.com>)
id 1sMob5-0000C6-2o
for xxxxxxxx@nifty.ne.jp;
Thu, 27 Jun 2024 06:51:31 -0600[46.183.222.65] (helo=counsellor.com) からserver.wve.grv.mybluehost.meへの受信
IPアドレス: 46.183.222.65
日時: 2024年6月27日06:51:31 -0600
2. IPアドレスの追跡
142.4.25.179:
ホスト名: server.wve.grv.mybluehost.me
プロバイダー: Bluehost (Endurance International Group)
位置情報: 米国 (データセンター)
46.183.222.65:
ホスト名: counsellor.com
プロバイダー: M247 Ltd
位置情報: 英国 (データセンター)
3. SPFとDKIMの解析
SPF結果:
spf=softfail smtp.mailfrom=victorchekn@counsellor.comSPF結果: softfail (送信元IPアドレスがSPFレコードに完全には一致していないが、一部一致している)
DKIM結果:
dkim=pass header.i=@mymonthlyresiduals.comDKIM結果: pass (署名は有効である)
署名ドメイン: mymonthlyresiduals.com
4. セキュリティ上の懸念
SPF softfail: 送信元のIPアドレスがSPFレコードと完全には一致していないため、信頼性は低い。
DKIM pass: メッセージが送信ドメイン(mymonthlyresiduals.com)から適切に署名されているが、実際の送信者ドメイン(counsellor.com)とは一致していない。
5. 送信元ドメインの信頼性評価
送信者ドメイン: counsellor.com
送信者のメールアドレス: victorchekn@counsellor.com
署名ドメイン: mymonthlyresiduals.com
評価: 送信元ドメインと署名ドメインが一致していないため、フィッシングの可能性が高いです。また、SPFがsoftfailであることから、信頼性は低いです。
総合評価
このメールはフィッシングの可能性が高いです。送信者ドメインと署名ドメインが一致しておらず、SPFもsoftfailとなっています。フィッシングメールとして報告することをお勧めします。
何か他にお手伝いできることがありましたら教えてください。
◆HTML記述構造の解析を行います。
HTML構造解析
<HTML>
<HEAD>
<META name=GENERATOR content="MSHTML 11.00.9600.19699">
</HEAD>
<BODY>
<P>
<FONT face="Comic Sans MS">
Dear xxxxxxxx@nifty.ne.jp,<BR><BR>
I am a private investigator and have been contracted by a financial institution to ascertain your relationship to an individual who died sometime ago.<BR><BR>
He died intestate and left behind an estate, we have reasons to believe that you may be related to the deceased.<BR><BR>
For further information, please contact me or the Assessor for confirmation.<BR><BR>
Yours Sincerely,<BR>
Victor Chen
</FONT>
<BR><BR><BR><BR>
<FONT size=1 face=Verdana>
This message is from Victor Chen secured server and this email is only for xxxxxxxx@nifty.ne.jp, 2024
</FONT>
<BR>
</P>
</BODY>
</HTML>詳細な解析
DOCTYPE宣言がない:
通常のHTML文書には`<!DOCTYPE html>`宣言が含まれていますが、このHTMLには存在しません。
METAタグ:
`<META name=GENERATOR content="MSHTML 11.00.9600.19699">`
これはMicrosoftのHTMLエディタ(おそらくInternet Explorer)が使用されたことを示しています。
フォントの使用:
`<FONT face="Comic Sans MS">`および`<FONT size=1 face=Verdana>`
フォントタグは古いHTML標準であり、現代のHTMLではスタイルシート(CSS)を使用してフォントスタイルを指定します。
本文の内容:
内容は典型的なフィッシングメールの特徴を持っています。
差出人が金融機関からの依頼を受けた私立探偵であると主張しています。
受信者が亡くなった人物の親族である可能性を示唆しています。
さらに情報を得るために連絡するよう促しています。
HTMLの構造:
`<BODY>`タグ内の内容は全て`<P>`タグに含まれており、段落分けが適切に行われていません。
改行は`<BR>`タグで行われていますが、これも古いスタイルであり、CSSを使ったマージンやパディングが推奨されます。
セキュリティ評価
フォントの使用と全体的なHTMLの古さ:
フィッシングメールによく見られる特徴です。プロフェッショナルなメールでは一般的に最新のHTML標準やCSSが使用されます。
内容の特徴:
個人情報の取得を目的としたフィッシングの可能性が高いです。特に「金融機関」「遺産相続」「連絡を促す」といった要素が揃っていることから、典型的な詐欺メールの手口です。
結論
このメールはフィッシングメールである可能性が非常に高いです。受信者に個人情報を提供させようとする意図が見られますので、慎重に扱い、返信やリンクのクリックを避けるべきです。
◆対処
総務省に転送して、お終いにする。
この記事が気に入ったらサポートをしてみませんか?