見出し画像

20240523-A(Nifty メール (xxxxxxxx@nifty.ne.jp) の設定確認のお願い:フィッシングメール)

ヒル

◆提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの追跡をしてください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。因みに、niftyのメールサーバーのホスト名とIPアドレスは、これです。
・IPアドレス:106.73.193.32
・ホスト名:M106073193032.v4.enabler.ne.jp
「Return-Path:
Hanahinanon@eaglemodel.com
Received:
from ifmta1018.nifty.com
by ibmta1018.nifty.com
with ESMTP
id 20240515003327942.OKYG.6633.ifmta1018.nifty.com@nifty.com
for xxxxxxxx@nifty.ne.jp;
Wed, 15 May 2024 09:33:27 +0900
Received:
from mta-sp-e01.mail.nifty.com([106.153.228.1])
by ifmta1018.nifty.com
with ESMTP
id 20240515003327841.CJUC.1069.mta-sp-e01.mail.nifty.com@nifty.com
for xxxxxxxx@nifty.ne.jp;
Wed, 15 May 2024 09:33:27 +0900
Received:
from mta-snd-e06.mail.nifty.com
by mta-sp-e01.mail.nifty.com
with ESMTP
id 20240515003327683.VJTD.73874.mta-snd-e06.mail.nifty.com@nifty.com
for xxxxxxxx@nifty.ne.jp;
Wed, 15 May 2024 09:33:27 +0900
Received:
from 4e5405c.org
by mta-snd-e06.mail.nifty.com
with ESMTP
id 20240515003327133.IBXS.76911.4e5405c.org@nifty.com
for xxxxxxxx@nifty.ne.jp;
Wed, 15 May 2024 09:33:27 +0900
Authentication-Results:
nifty.com; spf=fail smtp.mailfrom=Hanahinanon@eaglemodel.com;
sender-id=fail header.From=Hanahinanon@eaglemodel.com; dkim=none;
dkim-adsp=none header.from=Hanahinanon@eaglemodel.com
Content-Type:
multipart/mixed; boundary="===============4236224269201054683=="
MIME-Version:
1.0
From:
サポートヘルプデスク Hanahinanon@eaglemodel.com
To:
xxxxxxxx@nifty.ne.jp
Subject:
Nifty メール (xxxxxxxx@nifty.ne.jp) の設定確認のお願い
Date:
Wed, 15 May 2024 00:33:24 -0000
Message-ID:
171573320468.6284.2702097956138240597@eaglemodel.com
X-Accept-Language:
en-us, en
X-Priority:
2
X-MSmail-Priority:
High
Importance:
High」

まず、「Received」ヘッダー行を調査して、メールがどのように送信されてきたのかを確認します。

メールヘッダーの分析

1. `Received: from ifmta1018.nifty.com by ibmta1018.nifty.com with ESMTP`

  • 日時: 2024年5月15日09:33:27 +0900

  • 送信元ホスト名: ifmta1018.nifty.com

  • 受信先ホスト名: ibmta1018.nifty.com

2. `Received: from mta-sp-e01.mail.nifty.com([106.153.228.1]) by ifmta1018.nifty.com with ESMTP`

  • 日時: 2024年5月15日09:33:27 +0900

  • 送信元IPアドレス: 106.153.228.1

  • 送信元ホスト名: mta-sp-e01.mail.nifty.com

  • 受信先ホスト名: ifmta1018.nifty.com

3. `Received: from mta-snd-e06.mail.nifty.com by mta-sp-e01.mail.nifty.com with ESMTP`

  • 日時: 2024年5月15日09:33:27 +0900

  • 送信元ホスト名: mta-snd-e06.mail.nifty.com

  • 受信先ホスト名: mta-sp-e01.mail.nifty.com

4. `Received: from 4e5405c.org by mta-snd-e06.mail.nifty.com with ESMTP`

  • 日時: 2024年5月15日09:33:27 +0900

  • 送信元ホスト名: 4e5405c.org

  • 受信先ホスト名: mta-snd-e06.mail.nifty.com

この情報から、メールが送信されてきた経路は以下のようになります:

  1. 送信元ドメイン(4e5405c.org)からmta-snd-e06.mail.nifty.comへ

  2. mta-snd-e06.mail.nifty.comからmta-sp-e01.mail.nifty.comへ

  3. mta-sp-e01.mail.nifty.comからifmta1018.nifty.comへ

  4. ifmta1018.nifty.comからibmta1018.nifty.comへ

SPFとDKIMの結果

SPF (Sender Policy Framework)

spf=fail smtp.mailfrom=Hanahinanon@eaglemodel.com

SPFチェックは失敗しています。このメールはeaglemodel.comから送信されたと主張していますが、送信元IPアドレスはeaglemodel.comの許可リストに含まれていないため、失敗しています。

DKIM (DomainKeys Identified Mail)

dkim=none; dkim-adsp=none

DKIM署名はありません。DKIM署名がないため、送信者のドメインが本物であることを確認する手段がありません。

セキュリティ上の懸念

  • SPFの失敗:送信元アドレスが偽装されている可能性が高いです。

  • DKIM署名の欠如:ドメインの正当性を確認する方法がなく、信頼性が低いです。

  • 送信元ドメイン(eaglemodel.com):このドメインが本当にNiftyのサポートヘルプデスクからのものかどうか疑わしいです。公式のNiftyからのメールであれば、nifty.ne.jpドメインを使用するはずです。

送信元IPアドレスの追跡

IPアドレス: 106.153.228.1

  • 組織: NTT Communications Corporation

  • 場所: 日本

このIPアドレスはNTT Communications Corporationに属しています。

送信元ホスト名: 4e5405c.org

  • このドメインは公開情報が少なく、不審なアクティビティに関与している可能性があるため注意が必要です。

結論

  • 送信元ドメイン(eaglemodel.com)は、Niftyの公式なサポートヘルプデスクを装ったフィッシングメールの可能性が高いです。

  • SPFとDKIMの失敗により、送信者の信頼性が非常に低いことが確認されます。

このメールはフィッシングメールと判断され、適切に対応する必要があります。

◆「4e5405c.org」は手掛かりなし。

ありがとうございます。画像を確認しました。「4e5405c.org」に関する情報は見つからず、「false」と表示されています。これは、このドメインが存在しないか、正規のホスト名を持たないことを示唆しています。

まとめ

  • ドメイン: 4e5405c.org

  • ホスト名: 不明(「false」)

この情報は、送信元ドメインが偽装されている可能性が高いことを示しています。このドメインに関する情報が不足しているため、信頼性は非常に低いです。

セキュリティ上のアクション

  1. メールを無視・削除: このメールはフィッシングの疑いが高いです。リンクをクリックしたり、返信したりしないでください。

  2. メールを報告: このメールをセキュリティチームやサービスプロバイダー(Niftyなど)に報告してください。

  3. アカウントの確認: 念のため、Niftyのアカウントに異常なアクティビティがないか確認してください。

フィッシングメールは巧妙に見えることがありますが、ヘッダー情報と送信元ドメインの詳細な調査で偽装を見破ることができます。ご質問があればお知らせください。

◆テキスト部分はこれ。
「<p>こんにちは xxxxxxxx@nifty.ne.jp -</p>
<p> </p>
<p>【重要】 データベースへの最近のアップグレードが原因で、新しい受信メールが保留中のステータスになっているようです。</p>
<p> </p>
<p>また、ストレージ制限の 5000MB を超えています。メールボックスを再検証するまで、新しいメッセージを送受信することはできません。</p>
<p> </p>
<p>※ログインメールアドレスまたはユーザーID xxxxxxxx とパスワードの入力が必要です。</p>
<p> </p>
<p><a href="https://rbwolff.com/wikish/securactv/gloeba/root/finito/miyazaki/image/newdocs/files//804/npa/xxxxxxxx@nifty.ne.jp">再検証してアカウントをより安全に保ちます。</a></p>
<p> </p>
<p>今後ともNifty サービスをご愛顧賜りますようお願い申し上げます。</p>
<p> </p>
<p>Copyright ©2024 Nifty Communications Corporation . 無断転載を禁じます。</p>」

ありがとうございます。提供されたテキストから、このメールがフィッシングメールである可能性が非常に高いことが確認できます。以下に詳しい分析を示します。

懸念点と特徴

  1. 個人情報の要求:

    • メールアドレスやユーザーIDとパスワードの入力を要求している点は非常に疑わしいです。信頼できるサービスは、こうした情報をメールで要求することはありません。

  2. リンク先のURL:

    • `https://rbwolff.com/wikish/securactv/gloeba/root/finito/miyazaki/image/newdocs/files//804/npa/xxxxxxxx@nifty.ne.jp`

    • このリンク先がNiftyの公式ドメインではなく、見慣れないドメイン(`rbwolff.com`)であることは大きな警告サインです。リンク先のURLは不審であり、フィッシングサイトへの誘導を目的としている可能性が高いです。

  3. 緊急性を強調:

    • 受信メールの保留やストレージ制限を理由に、ユーザーに即座の行動を促しています。これは典型的なフィッシング手法です。

  4. 正式な表現を装う:

    • 「Copyright ©2024 Nifty Communications Corporation . 無断転載を禁じます。」などのフレーズは、信頼性を装うためによく使われますが、実際の公式メールでは見られない表現方法です。

結論

このメールは高い確率でフィッシングメールであり、ユーザーの個人情報を盗むことを目的としています。以下の対策をお勧めします:

  1. リンクをクリックしない:

    • 提供されたリンクをクリックしないようにしてください。

  2. メールを無視・削除:

    • このメールを無視して削除してください。

  3. Niftyに報告:

    • このメールをNiftyのサポートに報告し、フィッシングメールとして対処してもらうようにしてください。

  4. パスワードの変更:

    • 念のため、Niftyのアカウントのパスワードを変更し、二段階認証を有効にすることをお勧めします。

このようなフィッシングメールには十分注意し、個人情報を保護するために慎重に行動してください。

◆総務省に転送して、お終いにする。サンクス。

了解しました。フィッシングメールを総務省に転送するのは適切な対応です。何か他にサポートが必要なことがあれば、いつでもお知らせください。

この記事が気に入ったらサポートをしてみませんか?