20240607-A(Nifty Email Support・あなたのメールアカウントに未配信のメールが 4 件あります：フィッシングメール)

◆メールイメージ

◆メールヘッダー解析
「
Return-Path:
h-kiribayashi@nissinjpn.co.jp
Received:
from ifmta1009.nifty.com
by ibmta1009.nifty.com
with ESMTP
id 20240520172111416.RZRI.91938.ifmta1009.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Tue, 21 May 2024 02:21:11 +0900
Received:
from mta-fwd-w05.mail.nifty.com([106.153.227.53])
by ifmta1009.nifty.com
with ESMTP
id 20240520172111131.YAVB.85289.mta-fwd-w05.mail.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Tue, 21 May 2024 02:21:11 +0900
Received:
from ibmta1015.nifty.com
by mta-fwd-w05.mail.nifty.com
with ESMTP
id 20240520172111058.GSSW.118465.ibmta1015.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Tue, 21 May 2024 02:21:11 +0900
Received:
from ifmta1015.nifty.com
by ibmta1015.nifty.com
with ESMTP
id 20240520172111047.YUBS.118408.ifmta1015.nifty.com@nifty.com
for xxxxxxxx@nifty.ne.jp;
Tue, 21 May 2024 02:21:11 +0900
Received:
from m122.secure.ne.jp([158.199.173.240])
by ifmta1015.nifty.com
with SMTP
id 20240520172110908.HPIM.112910.m122.secure.ne.jp@nifty.com
for xxxxxxxx@nifty.ne.jp;
Tue, 21 May 2024 02:21:10 +0900
Received:
(qmail 77509 invoked from network);
21 May 2024 02:21:10 +0900
Received:
from unknown (HELO 172.235.198.101) (shioyagumi@twatwa.ne.jp@172.235.198.101)
by 0
with SMTP;
21 May 2024 02:21:10 +0900
Authentication-Results:
nifty.com; spf=fail smtp.mailfrom=h-kiribayashi@nissinjpn.co.jp;
sender-id=fail header.From=h-kiribayashi@nissinjpn.co.jp; dkim=none;
dkim-adsp=none header.from=h-kiribayashi@nissinjpn.co.jp
Date:
Mon, 20 May 2024 17:21:10 +0000
To:
xxxxxxxx@nifty.ne.jp
From:
Nifty Email Support h-kiribayashi@nissinjpn.co.jp
Subject:
あなたのメールアカウントに未配信のメールが 4 件あります:xxxxxxxx@nifty.ne.jp -REFID#8HU3-FFCK0Y-HJF1396926 -20/05/2024
Message-ID:
<2d082ed849cf420bae0f94a93f63791b@>
MIME-Version:
1.0
Content-Type:
text/html; charset=UTF-8
Content-Transfer-Encoding:
base64
」

▲提供されたメールヘッダーを詳細に分析し、各「Received」行を調査し、各IPアドレスを追跡しました。また、SPFとDKIMの結果を解釈し、送信元ドメインの信頼性を評価します。

メールヘッダーの解析

Received 行の解析

1. Received: from ifmta1009.nifty.com by ibmta1009.nifty.com

   • 送信者: ifmta1009.nifty.com

   • 受信者: ibmta1009.nifty.com

   • 日時: Tue, 21 May 2024 02:21:11 +0900

2. Received: from mta-fwd-w05.mail.nifty.com ([106.153.227.53]) by ifmta1009.nifty.com

   • 送信者: mta-fwd-w05.mail.nifty.com

   • IPアドレス: 106.153.227.53

   • 受信者: ifmta1009.nifty.com

   • 日時: Tue, 21 May 2024 02:21:11 +0900

3. Received: from ibmta1015.nifty.com by mta-fwd-w05.mail.nifty.com

   • 送信者: ibmta1015.nifty.com

   • 受信者: mta-fwd-w05.mail.nifty.com

   • 日時: Tue, 21 May 2024 02:21:11 +0900

4. Received: from ifmta1015.nifty.com by ibmta1015.nifty.com

   • 送信者: ifmta1015.nifty.com

   • 受信者: ibmta1015.nifty.com

   • 日時: Tue, 21 May 2024 02:21:11 +0900

5. Received: from m122.secure.ne.jp ([158.199.173.240]) by ifmta1015.nifty.com

   • 送信者: m122.secure.ne.jp

   • IPアドレス: 158.199.173.240

   • 受信者: ifmta1015.nifty.com

   • 日時: Tue, 21 May 2024 02:21:10 +0900

6. Received: (qmail 77509 invoked from network); 21 May 2024 02:21:10 +0900

   • qmailサーバーからの受信

7. Received: from unknown (HELO 172.235.198.101) (shioyagumi@twatwa.ne.jp@172.235.198.101) by 0

   • 送信者: unknown (172.235.198.101)

   • 受信者: 0 (不明なサーバー)

SPFとDKIMの結果の解釈

• SPF: `fail`

  • 送信元ドメイン（h-kiribayashi@nissinjpn.co.jp）がSPFレコードに準拠していないことを示します。

• Sender-ID: `fail`

  • ヘッダのFromアドレス（h-kiribayashi@nissinjpn.co.jp）がSender-IDレコードに準拠していないことを示します。

• DKIM: `none`

  • DKIM署名がないことを示します。

セキュリティ上の懸念

• SPFとSender-IDの失敗、およびDKIM署名の欠如は、このメールが信頼できない送信元から送信されている可能性が高いことを示しています。

• 不明なIPアドレス（172.235.198.101）からの送信も、信頼性の低い送信元を示唆します。

送信元ドメインの信頼性

• `h-kiribayashi@nissinjpn.co.jp` は、実在する企業ドメインの形式に見えますが、実際の企業ドメインであるかどうかは確認が必要です。

• `nissinjpn.co.jp` ドメインを調査することで、ドメインが信頼できる企業に属しているか確認します。

IPアドレスの追跡

• 106.153.227.53: nifty.comのサーバーIPアドレス。

• 158.199.173.240: secure.ne.jpのサーバーIPアドレス。

• 172.235.198.101: このIPアドレスはプライベートIPアドレスの範囲内にあり、インターネット上では利用されないため、信頼性が低い。

結論

提供されたメールは、SPFやDKIMの失敗、不明なIPアドレスからの送信など、多くのセキュリティ上の懸念を引き起こす要素を含んでいます。このメールはフィッシングメールである可能性が高いため、注意が必要です。

◆HTML記述解析
「
<html><br></p><p style="font-family:Segoe UI"><font face="Segoe UI" size=''><br><span style="font-size:12pt;font-family:&quot;Segoe UI&quot;,sans-serif,serif,EmojiFont;"><b>あなたのメールアカウントに未配信のメールが 4 件あります</b><td width="100%" style="padding:0 7.5pt;width:100%"><br><br><table class="x_MsoNormalTable" border="0" cellpadding="0" cellspacing="3" width="100%" style="background:rgb(242,245,250) none repeat scroll 0 50%;width:730px;margin-left:0"><td style="padding:0 7.5pt;width:611px"><p class="x_MsoNormal" style="margin-bottom:.0001pt;line-height:normal;margin-left:0;width:485px"><p><tr><td style="padding:0 7.5pt 4.5pt;text-align:left;width:611px">サービスを中断してしまい申し訳ありませんが、サーバー エラーにより、メールボックス <strong>xxxxxxxx@nifty.ne.jp</strong> に 4 件の新しい電子メールが誤って配信されなくなりました。20/05/2024. <br><br><b><a href="https://www.bing.com/ck/a?!&&p=fc0e45a7207095bbJmltdHM9MTcxNjA3NjgwMCZpZ3VpZD0zYmFjMjc4NS0yNTY1LTY4NmYtMDU4OC0zNTc4MjQ2NTY5MDgmaW5zaWQ9NTE4Mg&ptn=3&ver=2&hsh=3&fclid=3bac2785-2565-686f-0588-357824656908&u=a1aHR0cHM6Ly90ZXJlc2F0ZWxsZXouY29tL2Jsb2cv#xxxxxxxx@nifty.ne.jp&ntb=1">返送されたメールのレポートをお読みください。</b></a> <br><br>これは自動メッセージですので返信しないでください</table></td></tr><tr><BR><BR><BR><BR><BR><p><br></p><div style="visibility:hidden">This email is confidential and may also be privileged. If you are not the intended recipient please delete it and notify us immediately by telephoning or e-mailing the sender. You should not copy it or use it for any purpose nor disclose its contents to any other person.Allen & Overy LLP is a limited liability partnership registered in England and Wales with registered number OC306763 and SRA number 401323. Allen & Overy (Holdings) Limited is a limited company registered in England and Wales with registered number 07462870. The term partner is used to refer to a member of Allen & Overy LLP or a director of Allen & Overy (Holdings) Limited or in either case an employee or consultant with equivalent standing and qualifications. A list of the members of Allen & Overy LLP and of the non-members who are designated as partners, and a list of the directors of Allen & Overy (Holdings) Limited, are open to inspection at the registered office of both, One Bishops Square, London E1 6AD. Both Allen & Overy LLP and Allen & Overy (Holdings) Limited are authorised and regulated by the Solicitors Regulation Authority of England and Wales</div>
」

▲このHTMLメールの内容を解析し、フィッシングメールの特徴を確認します。

HTMLメールの構造

<html>
  <br></p>
  <p style="font-family:Segoe UI">
    <font face="Segoe UI" size=''>
      <br>
      <span style="font-size:12pt;font-family:&quot;Segoe UI&quot;,sans-serif,serif,EmojiFont;">
        <b>あなたのメールアカウントに未配信のメールが 4 件あります</b>
        <td width="100%" style="padding:0 7.5pt;width:100%">
          <br><br>
          <table class="x_MsoNormalTable" border="0" cellpadding="0" cellspacing="3" width="100%" style="background:rgb(242,245,250) none repeat scroll 0 50%;width:730px;margin-left:0">
            <td style="padding:0 7.5pt;width:611px">
              <p class="x_MsoNormal" style="margin-bottom:.0001pt;line-height:normal;margin-left:0;width:485px">
                <p>
                <tr>
                  <td style="padding:0 7.5pt 4.5pt;text-align:left;width:611px">
                    サービスを中断してしまい申し訳ありませんが、サーバー エラーにより、メールボックス <strong>xxxxxxxx@xxxxxty.ne.jp</strong> に 4 件の新しい電子メールが誤って配信されなくなりました。20/05/2024.
                    <br><br>
                    <b><a href="https://www.bing.com/ck/a?!&&p=fc0e45a7207095bbJmltdHM9MTcxNjA3NjgwMCZpZ3VpZD0zYmFjMjc4NS0yNTY1LTY4NmYtMDU4OC0zNTc4MjQ2NTY5MDgmaW5zaWQ9NTE4Mg&ptn=3&ver=2&hsh=3&fclid=3bac2785-2565-686f-0588-357824656908&u=a1aHR0cHM6Ly90ZXJlc2F0ZWxsZXouY29tL2Jsb2cv#xxxxxxxx@xxxxxty.ne.jp&ntb=1">返送されたメールのレポートをお読みください。</b></a>
                    <br><br>
                    これは自動メッセージですので返信しないでください
                  </td>
                </tr>
                <tr>
                <br><br><br><br><br><p><br></p>
                <div style="visibility:hidden">
                  This email is confidential and may also be privileged. If you are not the intended recipient please delete it and notify us immediately by telephoning or e-mailing the sender. You should not copy it or use it for any purpose nor disclose its contents to any other person.Allen & Overy LLP is a limited liability partnership registered in England and Wales with registered number OC306763 and SRA number 401323. Allen & Overy (Holdings) Limited is a limited company registered in England and Wales with registered number 07462870. The term partner is used to refer to a member of Allen & Overy LLP or a director of Allen & Overy (Holdings) Limited or in either case an employee or consultant with equivalent standing and qualifications. A list of the members of Allen & Overy LLP and of the non-members who are designated as partners, and a list of the directors of Allen & Overy (Holdings) Limited, are open to inspection at the registered office of both, One Bishops Square, London E1 6AD. Both Allen & Overy LLP and Allen & Overy (Holdings) Limited are authorised and regulated by the Solicitors Regulation Authority of England and Wales
                </div>
              </td>
            </tr>
          </table>
        </td>
      </span>
    </font>
  </p>
</html>

フィッシングメールの特徴

1. 不自然な日本語:

   • 「サービスを中断してしまい申し訳ありませんが、サーバー エラーにより、メールボックス...」といった不自然な日本語の表現は、フィッシングメールである可能性を示唆します。

2. リンク:

   • 「返送されたメールのレポートをお読みください。」というリンクが含まれています。このリンク先が信頼できるかどうか確認する必要があります。リンク先がniftyの正規サイトでない場合、フィッシングサイトの可能性があります。

   • `https://www.bing.com/ck/a?!&&p=fc0e45a7207095bbJmltdHM9MTcxNjA3NjgwMCZpZ3VpZD0zYmFjMjc4NS0yNTY1LTY4NmYtMDU4OC0zNTc4MjQ2NTY5MDgmaW5zaWQ9NTE4Mg&ptn=3&ver=2&hsh=3&fclid=3bac2785-2565-686f-0588-357824656908&u=a1aHR0cHM6Ly90ZXJlc2F0ZWxsZXouY29tL2Jsb2cv#xxxxxxxx@nifty.ne.jp&ntb=1`

     • このURLは、ビングのリダイレクトサービスを通じて他のサイトに誘導されているように見えます。このようなリダイレクトは、フィッシングメールの一般的な手法です。

3. 隠されたコンテンツ:

   • HTML内に、視覚的に隠されたテキスト（divの中にvisibility:hiddenで設定されている）が含まれています。このテキストは、通常のメールの内容とは関係がなく、メールの信頼性を高めるために挿入されたものと考えられます。

まとめ

このメールは、以下の理由によりフィッシングメールである可能性が高いです:

• 不自然な日本語の使用

• リンク先が信頼できないリダイレクトURL

• 視覚的に隠されたテキストの存在

これらの点を総務省に報告し、受信者にはリンクをクリックしないよう注意喚起することをお勧めします。

◆対処
総務省に転送して、お終いにする。