20240422-A(東京都水道局・【水道局】ご請求料金確定のお知らせ：フィッシングメール)

◆提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの追跡をしてください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。因みに、niftyのメールサーバーのホスト名とIPアドレスは、これです。
・IPアドレス：106.73.193.32
・ホスト名：M106073193032.v4.enabler.ne.jp
「Return-Path:
abigail4162@latii.com
Received:
from ifmta1005.nifty.com
by ibmta1005.nifty.com
with ESMTP
id 20240421130619394.IGJS.42872.ifmta1005.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Sun, 21 Apr 2024 22:06:19 +0900
Received:
from mta-fwd-e03.mail.nifty.com([106.153.226.51])
by ifmta1005.nifty.com
with ESMTP
id 20240421130619223.CYOR.34412.mta-fwd-e03.mail.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Sun, 21 Apr 2024 22:06:19 +0900
Received:
from ibmta0003.nifty.com
by mta-fwd-e03.mail.nifty.com
with ESMTP
id 20240421130619061.IHYX.53782.ibmta0003.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Sun, 21 Apr 2024 22:06:19 +0900
Received:
from ifmta0003.nifty.com
by ibmta0003.nifty.com
with ESMTP
id 20240421130619038.VZGR.53492.ifmta0003.nifty.com@nifty.com
for xxxxxxxx@nifty.ne.jp;
Sun, 21 Apr 2024 22:06:19 +0900
Received:
from latii.com([86.56.207.63])
by ifmta0003.nifty.com
with ESMTP
id 20240421130618024.WQHE.46770.latii.com@nifty.com
for xxxxxxxx@nifty.ne.jp;
Sun, 21 Apr 2024 22:06:18 +0900
Received:
from smtpclient ([127.0.0.1])
by smtpserver
via TCP
with ESMTPA;
Mon, 22 Apr 2024 21:06:03 +0800
Authentication-Results:
nifty.com; spf=none smtp.mailfrom=abigail4162@latii.com; sender-id=none header.From=abigail4162@latii.com;
dkim=none;
dkim-adsp=none header.from=abigail4162@latii.com
From:
東京都水道局 abigail4162@latii.com
Date:
Mon, 22 Apr 2024 21:06:03 +0800
Subject:
【水道局】ご請求料金確定のお知らせ
Message-Id:
754W5ZU6VMU4.CCM0U1IHYKEO3@win-hv3lp9b5ou3
To:
xxxxxxxx@nifty.ne.jp
MIME-Version:
1.0
Content-Type:
text/html; charset=utf-8
Content-Transfer-Encoding:
8bit」

メールヘッダーの分析を行います。まずは、すべての「Received」行から始め、次にSPFとDKIMの結果を解釈し、最後に送信元ドメインの信頼性を評価します。

Received ヘッダーの解析

1. 最初のReceived行

• 送信元: smtpclient (IPアドレス 127.0.0.1) - これは通常、送信者のローカルマシンを指します。

• 送信先: smtpserver

• 時間: Mon, 22 Apr 2024 21:06:03 +0800

2. latii.comからの受信

• 送信元: latii.com (IPアドレス 86.56.207.63)

• 送信先: ifmta0003.nifty.com (Niftyのメールサーバー)

• 時間: Sun, 21 Apr 2024 22:06:18 +0900

3. ifmta0003.nifty.comからibmta0003.nifty.comへ

• 送信元: ifmta0003.nifty.com

• 送信先: ibmta0003.nifty.com

• 時間: Sun, 21 Apr 2024 22:06:19 +0900

4. ibmta0003.nifty.comからmta-fwd-e03.mail.nifty.comへ

• 送信元: ibmta0003.nifty.com

• 送信先: mta-fwd-e03.mail.nifty.com

• IPアドレス: 106.153.226.51

• 時間: Sun, 21 Apr 2024 22:06:19 +0900

5. mta-fwd-e03.mail.nifty.comからifmta1005.nifty.comへ

• 送信元: mta-fwd-e03.mail.nifty.com

• 送信先: ifmta1005.nifty.com

• 時間: Sun, 21 Apr 2024 22:06:19 +0900

6. 最終受信

• 送信元: ifmta1005.nifty.com

• 送信先: ibmta1005.nifty.com

• 時間: Sun, 21 Apr 2024 22:06:19 +0900

SPFとDKIMの結果

• SPFの結果: "none" - SPFレコードが見つからないか、適切に評価されていないことを示します。

• DKIMの結果: "none" - DKIM署名がメールに含まれていないことを示します。

セキュリティ上の懸念

1. SPFとDKIMが無効: SPFとDKIMの両方が無効であるため、メールが送信元からの正当なものであるか確認することが困難です。

2. ローカルIPアドレスの使用: 最初のReceived行がローカルIP (127.0.0.1) を使用しているため、送信者の実際の位置やデバイスを特定することができません。

送信元ドメインの信頼性

• ドメイン名: latii.com

• IPアドレス 86.56.207.63 を使用していますが、このドメインについての情報が限られているため、信頼性を確認するには追加の調査が必要です。

この情報をもとに、メールが信頼できるものかどうかを判断するためには、追加の検証が必要です。特に、SPFとDKIMが無効である点は大きな懸念事項です。また、送信元ドメインの詳細な背景調査も推奨されます。

◆テキスト部分はこれ。分析して。
「東京都水道局をご利用いただき、ありがとうございます。

このメールは、未払いの水道料金についてご連絡させていただくものです。お手数ですが、以下の内容をご確認いただき、早急にお支払いいただけますようお願い申し上げます。

お支払い期限: 2024/4/22

▼ 支払いの詳細リンクエント

※更新の有効期限は、24時間です。
よくある問い合わせ（FAQ）や操作方法動画等を掲載しています。
（東京都水道局HPに遷移します）
-----------------------------------------
※このメッセージは自動的に送信されております。本メールに返信いただいても、対応できかねますのでご了承ください。
-----------------------------------------

Copyright © Bureau of Waterworks Tokyo Metropolitan Government. All Rights Reserved..ku2h167cho-sh7em1ko37lukky- for_the_unlimited_future_ktoa」

このメールテキストには、いくつかの特徴がありますが、フィッシング詐欺の典型的な特徴も含まれている可能性があります。以下にその点を詳細に分析します。

メール内容の分析

1. 公式機関の名前の使用: メールは「東京都水道局」と名乗っています。これは実在の組織であり、公式機関の名前を使用することで、受信者の信頼を得やすくする一般的な手法です。

2. 支払いの催促: 未払い料金に関する通知というのは、受信者に急いで行動させるための一般的な手段です。特に支払い期限が非常に近い（または過去の日付である）場合、プレッシャーを感じさせる効果があります。

3. リンクの存在: 「支払いの詳細リンク」が挙げられていますが、このリンクの実際のURLは示されていません。フィッシング詐欺では、偽のウェブサイトに誘導するリンクがしばしば利用されます。リンクが安全であるかどうかを確認するには、リンクをクリックするのではなく、マウスオーバーで実際のURLを確認するか、直接信頼できるウェブサイトにアクセスすることが推奨されます。

4. 自動送信の通知と返信不可: 自動送信されたメールであり、返信しても対応されない旨が記載されています。これは正当な通知の特徴である可能性もありますが、対話の欠如は詐欺師が直接の対話を避けるために使用する戦術でもあります。

懸念点

• ドメインの信頼性: 送信元ドメイン「latii.com」は以前の分析でSPFとDKIMが設定されていないことが明らかになっており、このドメインが実際に信頼できるかどうか不明です。東京都水道局の公式ドメインからのメールであれば、もっと信頼できるドメイン名が使用されるはずです。

• 文言の不自然さ: 最後の行には意味不明な文字列が含まれており、これは通常の公式文書には見られない特徴です。これが何を意味しているのか不明ですが、不自然な追加情報は注意が必要です。

結論

このメールはフィッシング詐欺の可能性があります。特に、公式機関を装って個人情報や金銭を詐取しようとする詐欺に典型的な手口が使われているため、慎重に対応する必要があります。実際に料金が未払いかどうかを確認する場合は、東京都水道局の公式ウェブサイトに直接アクセスするか、公式の連絡先に電話で問い合わせることをお勧めします。

◆html記述はこれ。分析して。
「<html><head><meta charset="utf-8"></head><body><p>東京都水道局をご利用いただき、ありがとうございます。</p> <p>このメールは、未払いの水道料金についてご連絡させていただくものです。お手数ですが、以下の内容をご確認いただき、早急にお支払いいただけますようお願い申し上げます。</p> <p>お支払い期限: 2024/4/22</p> <p><br><a href="https://bit.ly/m-sjdid">▼ 支払いの詳細リンクエント</a> </p><p>※更新の有効期限は、24時間です。<br>よくある問い合わせ（FAQ）や操作方法動画等を掲載しています。<br>（東京都水道局HPに遷移します）<br>-----------------------------------------<br>※このメッセージは自動的に送信されております。本メールに返信いただいても、対応できかねますのでご了承ください。<br>-----------------------------------------</p> <p><font color="#333333" face="MS PGothic">Copyright © Bureau of Waterworks Tokyo Metropolitan Government. All Rights Reserved..ku2h167cho-sh7em1ko37lukky- for_the_unlimited_future_ktoa</font> </p> </body></html>」

提供されたHTML記述からメールコンテンツを分析すると、以下の要点が注目に値します。

HTML構造と内容

• 基本的なHTML構造: HTMLは基本的なウェブページの構造を持ち、「head」タグで文字コードとしてUTF-8を指定しています。これは標準的な設定です。

• テキスト内容: テキストは日本語で書かれており、「東京都水道局」を名乗り、未払いの水道料金に関する通知と支払いの催促を含んでいます。公式の機関からの通知のように見せかけています。

• リンク: 支払い詳細にアクセスするためのリンクが含まれており、短縮URL（bit.ly）を使用しています。短縮URLは宛先が不透明なため、セキュリティリスクが伴います。不正なサイトに誘導される可能性があります。

• フォントと色の使用: 「MS PGothic」というフォントと特定の色コード（#333333）が使用されています。これは日本語環境でよく使用されるフォントで、メールが日本語の読者を対象としていることを示しています。

セキュリティリスクとフィッシングの疑い

1. 短縮URLの使用: フィッシング攻撃ではしばしば短縮URLが使用されます。これは実際のリンク先を隠すためであり、ユーザーがセキュリティ対策を無視してリンクをクリックすることを期待しています。

2. 公式機関を装う: 「東京都水道局」という名前の使用は、受信者に信頼性を与えるためのものですが、前の分析で見たように送信元のドメイン（latii.com）やメールの検証情報（SPF、DKIM）の不足が、このメールが正規のものではない可能性を示唆しています。

3. 返信不可の通知: 自動送信としており、返信不可であるという通知は、直接の対話を避ける典型的なフィッシングの特徴です。

結論

このHTMLメールはフィッシング詐欺の兆候を多く含んでいます。リンクの安全性は疑わしく、公式機関の名前を不正に使用している可能性が高いです。もし本当に東京都水道局からの未払い料金に関する連絡が心配な場合は、直接公式サイトにアクセスするか、公式の連絡先に直接問い合わせることを推奨します。また、このようなメールを受け取った際には、リンクをクリックせずに、迷惑メールとして報告することが適切です。

◆東京都水道局と名乗っている時点で、馬脚を現しているんだよな。私んちは東京都じゃないから。東京電力のように広域に影響する組織と勘違いしてるんだろか？総務省に転送して、お終いにする。サンクス。

その決定は賢明ですね。地域を特定せずに一般的な名称を用いることは、フィッシング詐欺の一般的な手法ですが、地理的な詳細を間違えることで疑念を抱かせることもあります。総務省への通報は適切な対応で、他の人々も同様の詐欺から守る助けになるでしょう。何か他にお手伝いできることがあれば、遠慮なくお知らせください。