見出し画像

20240612-A(通関手続きが必要です: DHL出荷アラート:フィッシングメール)

ヒル

メールイメージ

ブラウザ表示

メールヘッダー解析
提供されたメールヘッダーを詳細に分析し、すべての「Received」行を調査し、各IPアドレスを追跡します。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認します。送信元ドメインの信頼性についても評価します。

1. メールヘッダーの解析

1.1 Received 行の調査

Received:
  from ifmta0019.nifty.com
  by ibmta0019.nifty.com
  with ESMTP
  id <20240530113853064.ZVYN.15219.ifmta0019.nifty.com@nifty.com>
  for <xxxxxxxx@nifty.ne.jp>;
  Thu, 30 May 2024 20:38:53 +0900

  • ifmta0019.nifty.com から ibmta0019.nifty.com へ。

  • ESMTP により転送。

  • 受信時間:Thu, 30 May 2024 20:38:53 +0900

Received:
  from shipping.com([200.75.5.136])
  by ifmta0019.nifty.com
  with ESMTP
  id <20240530113852319.TWNK.9711.shipping.com@nifty.com>
  for <xxxxxxxx@nifty.ne.jp>;
  Thu, 30 May 2024 20:38:52 +0900

  • shipping.com (IPアドレス: 200.75.5.136) から ifmta0019.nifty.com へ。

  • ESMTP により転送。

  • 受信時間:Thu, 30 May 2024 20:38:52 +0900

2. IPアドレスの追跡

2.1 IPアドレス 200.75.5.136

  • IPアドレスの所有者: メール送信元が信頼できるドメインかどうかを確認するために、IPアドレスの所有者情報を追跡します。

whois 200.75.5.136

3. 認証結果の解釈

3.1 SPF (Sender Policy Framework)

Authentication-Results:
  nifty.com; spf=permerror smtp.mailfrom=delivery-message-system-express@shipping.com;

  • SPF結果: permerror (永久エラー)

  • 解釈: SPFの設定に誤りがあるため、メールの送信元が検証できません。これはセキュリティ上の懸念です。

3.2 DKIM (DomainKeys Identified Mail)

dkim=none;
dkim-adsp=none header.from=delivery-message-system-express@shipping.com

  • DKIM結果: none (DKIM署名なし)

  • 解釈: DKIM署名がないため、メールの送信元の信頼性を確認できません。これもセキュリティ上の懸念です。

4. 送信元ドメインの信頼性評価

4.1 ドメイン情報の確認

  • ドメイン: shipping.com

  • ドメイン情報を追跡し、その信頼性を評価します。

whois shipping.com

5. 結論

  • IPアドレス 200.75.5.136 の所有者情報と、shipping.com のドメイン情報を確認し、その信頼性を評価します。

  • SPF 設定の永久エラーや DKIM署名がない ことは、メールの信頼性を大きく損なう要因です。

  • これらの要素から、このメールはフィッシング詐欺の可能性が高いと判断されます。

各IPアドレスの追跡とドメイン情報の確認が必要です。次のステップとして、`whois` コマンドを使用して詳細情報を取得しますが、私の現在の環境では外部への直接のアクセスができないため、ユーザーの協力が必要です。以下のコマンドをローカル環境で実行してください。

whois コマンドの実行例

whois 200.75.5.136
whois shipping.com

IPアドレス 200.75.5.136

WHOIS情報

  • オーナー: Gtd Internet S.A.

  • 所在地: Moneda 920 Piso 11, Santiago, RM 6500712, Chile

  • 担当者: Jose Andres Olea (jolea@gtdinternet.com)

  • 電話番号: 56-2-3809193

概要

  • IPアドレス 200.75.5.136 はチリのインターネットプロバイダー Gtd Internet S.A. によって所有されています。

  • メール送信元としてこのIPアドレスを使用することは、信頼性が低い可能性があります。特に、メールの送信元が信頼できる大手企業であることを主張している場合、このようなIPアドレスからの送信は疑わしいです。

ドメイン shipping.com

WHOIS情報

  • ドメイン情報を確認するためには、詳細な WHOIS 情報を取得する必要がありますが、現時点での解析結果からは、このドメインの信頼性も疑わしいです。

SPFとDKIMの解析

SPF (Sender Policy Framework)

  • 結果: permerror (永久エラー)

  • 解釈: SPFレコードが誤っているため、送信元を確認できない。これは重大なセキュリティリスクです。

DKIM (DomainKeys Identified Mail)

  • 結果: none (DKIM署名なし)

  • 解釈: DKIM署名がないため、メールの送信元の信頼性を確認できません。これは重大なセキュリティリスクです。

結論

  1. IPアドレス 200.75.5.136 は信頼性の低いネットワークからのものです。

  2. shipping.com ドメインの信頼性も疑わしいです。大手企業がこのような設定をしている可能性は低いです。

  3. SPFとDKIMの認証に失敗しており、これらはメールの送信元を検証するための重要な手段です。

以上の結果から、このメールは非常に高い確率でフィッシング詐欺の一環であると判断できます。このメールを報告し、関連する機関に対応を依頼することを強くお勧めします。

HTML記述構造解析
以下は提供されたHTML記述の詳細な分析です。

HTML構造

全体構成

  • DOCTYPE宣言: `<!DOCTYPE html>`

  • HTML言語設定: `lang="ja"`

  • メタデータ

    • `charset="UTF-8"`

    • `X-UA-Compatible` として `IE=edge`

    • `viewport` 設定でレスポンシブ対応

  • スタイル

    • コンテナのスタイル設定

    • 中央揃え

    • 行間設定

    • ボックススタイル

セキュリティ上の懸念

1. 画像

<img src="https://upload.wikimedia.org/wikipedia/commons/a/ac/DHL_Logo.svg" alt="DHL Logo" width="144">

  • 画像URLはWikipediaのものですが、これは正規のドメインであるため、直接的なセキュリティリスクは低いです。

2. リンク

<a href="https://ecbcd7c2-269c-44d0-b144-4142d87bcbb7-00-2fca58mnn46xc.worf.replit.dev/japanese.html" target="_blank" style="font-size: 14px; text-decoration: none; color: #d40615; background-color: #f1c40f; padding: 10px 20px; border-radius: 4px; display: inline-block;">&#24773;&#22577;&#12434;&#26356;&#26032;</a>

  • リンクURL: `https://ecbcd7c2-269c-44d0-b144-4142d87bcbb7-00-2fca58mnn46xc.worf.replit.dev/japanese.html`

    • `replit.dev` は一般的なWebホスティングサービスの一つですが、このサブドメインは一見したところ信頼性が低い可能性があります。DHLの正規ドメインである `dhl.com` とは異なるため、このリンクはフィッシングの疑いがあります。

メールの内容とレイアウト

  • メールのレイアウトはシンプルであり、中心揃えのテキストやボタンが配置されています。

  • 日本語のテキストが含まれており、読みやすく書かれていますが、これは正規の企業からのメールとしてはやや不自然です。

具体的なセキュリティチェックポイント

  1. リンクの確認: `replit.dev` のサブドメインを含むリンクは疑わしいため、クリックしないことを推奨します。

  2. SPFとDKIMの失敗: これらのセキュリティチェックが失敗していることは、メールの送信元が信頼できないことを示しています。

結論

このHTMLメールは以下の理由からフィッシング詐欺の可能性が高いです。

  1. SPFとDKIMの失敗: 認証に失敗しており、送信元を確認できない。

  2. リンクのドメインが不審: `replit.dev` のサブドメインはDHLの正規ドメインではなく、フィッシング詐欺の典型的な手口です。

  3. メールのレイアウトと内容: 日本語のテキストが含まれており、正規の企業からのメールとしてはやや不自然です。

このメールをフィッシング詐欺として報告し、リンクをクリックせず、メールを削除することを強くお勧めします。

対処
総務省に転送して、お終いにする。

この記事が気に入ったらサポートをしてみませんか?