見出し画像

20240229-B(AEON・1月ご請求額のお知らせ:フィッシングメール)

ヒル

提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの起源を特定してください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。IPアドレスの起源の特定は、私がやります。
「Return-Path:
aeoncard1@kffdoyw.cn
Received:
from ifmta1004.nifty.com
by ibmta1004.nifty.com
with ESMTP
id 20240210131923066.DWPW.126066.ifmta1004.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Sat, 10 Feb 2024 22:19:23 +0900
Received:
from kffdoyw.cn([194.87.31.222])
by ifmta1004.nifty.com
with ESMTP
id 20240210131922179.VAPZ.124217.kffdoyw.cn@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Sat, 10 Feb 2024 22:19:22 +0900
Authentication-Results:
nifty.com; spf=pass smtp.mailfrom=aeoncard1@kffdoyw.cn; sender-id=pass header.From=aeoncard1@kffdoyw.cn;
dkim=neutral reason="no\ key\ for\ signature" header.i=aeoncard1@kffdoyw.cn;
dkim-adsp=none header.from=aeoncard1@kffdoyw.cn
DKIM-Signature:
v=1; a=rsa-sha256; c=relaxed/relaxed; s=key1; d=kffdoyw.cn; h=Content-Type:MIME-Version:Content-Transfer-Encoding:From:Subject:Date:To;
i=aeoncard1@kffdoyw.cn; bh=ezxX5bUrr8wACwtOUxufg7Glbb+cDlIZP3KSElgfSos=;
b=fIyWCE5aHcRzlsewUl/cQNtJFD8f4WbXuNH5lnC7zgUCwyuEsbM53WJHmoFOLnDVUQptFt74ii5s ruXm8GjTzdNUypkaeSRY0Pqq7KqQ6N4KOGLtDptHTsTg2aH1ZHgAF0elbITzZyw9W0Kyhhc3YiLC XxtKO/S5QI5NxppczW4Naxwsts5gixcNFzGT2y0mG+KzTMHXSA9zPp+zS41hyTa7FEvPFAHP6a6j LQzqyKdlckfi0pfCbsozRyaiGFDJ7AcK2QCRVCLjODimDM468BfBiYM3MtijjZL3Ms8/bjSezXXJ YrqOG6MvZft/kSKVVddnM6OOTRqVgC6gTQiiCQ==
Content-Type:
text/html; charset="utf-8"
MIME-Version:
1.0
Content-Transfer-Encoding:
base64
From:
イオンフィナンシャルサービス株式会社 aeoncard1@kffdoyw.cn
Subject:
1月ご請求額のお知らせ
Date:
Sat, 10 Feb 2024 02:28:33 +0100
To:
xxxxxxxx@xxxxx.nifty.ne.jp
Message-Id:
20240210131922179.VAPZ.124217.kffdoyw.cn@nifty.com」

このメールヘッダーの分析を行うことで、セキュリティ上の懸念点やメールの信頼性について評価できます。以下にその詳細を説明します。

1. `Received` ヘッダーの分析

  • 最初の `Received` ヘッダーは、`ifmta1004.nifty.com` から `ibmta1004.nifty.com` へのメール転送を示しています。この過程で使用された IP アドレスやホスト名は直接は示されていませんが、`nifty.com` の内部メールサーバー間での転送を示しているため、この部分に関しては特にセキュリティの懸念はありません。

  • 二番目の `Received` ヘッダーでは、外部ドメイン `kffdoyw.cn` から `nifty.com` のメールサーバー `ifmta1004.nifty.com` へメールが送信されたことが示されています。送信元の IP アドレスは `194.87.31.222` です。この IP アドレスからメールが送信されたことに対し、詳細な起源の特定が必要です。

2. SPF と DKIM の結果の解釈

  • SPF (Sender Policy Framework): `spf=pass` という結果は、送信元ドメイン `kffdoyw.cn` がこのメール送信に使用された IP アドレスを正当な送信源として認証していることを意味します。これは、少なくともメールが改ざんされずに正規のルートから送信された可能性が高いことを示します。

  • DKIM (DomainKeys Identified Mail): `dkim=neutral` という結果と、「no key for signature」という理由は、DKIM 署名が存在するものの、公開鍵が見つからないため、署名の検証ができなかったことを意味します。これはセキュリティ上の懸念点とは必ずしも言えませんが、メールの真正性を確認するための追加の保証が提供されていないことを示しています。

  • DKIM-ADSP (Author Domain Signing Practices): `dkim-adsp=none` は、ドメインが DKIM 署名ポリシーを特に設定していないことを意味します。これは、メールの信頼性に直接影響を与えるものではありませんが、ドメインがメール認証に対して積極的な姿勢をとっていない可能性があります。

3. 送信元ドメインの信頼性

  • ドメイン `kffdoyw.cn` は、見慣れないドメインであり、メールの内容がイオンフィナンシャルサービスを装っていることを考慮すると、フィッシング詐欺の可能性が考えられます。イオンフィナンシャルサービスの公式ドメインではなく、中国のドメインを使用している点は特に警戒が必要です。

結論

このメールは、SPF チェックには合格していますが、DKIM の検証には失敗し、送信元ドメインが疑わしいことから、セキュリティ上の懸念があります。受信者はメールの内容に対して注意を払い、特に個人情報やログイン情報の入力を求めるリンクにはクリックしないようにすべきです。また、信頼できるソースからの確認を取ることが推奨されます。

IPアドレスの場所はここ。

アップロードされた画像は、IPアドレス `194.87.31.222` の位置情報を示しています。情報によると、この IP アドレスはオランダ、アムステルダムに所在しており、経度と緯度の座標も提供されています。

この情報を元に、以下の点が評価されます:

  1. 地理的な位置: メールがオランダから送信されたことが示されています。この地理的な情報は、メールがどのようなルートを経由して送信されたか、または送信者がどこにいる可能性があるかについての手がかりを提供します。ただし、VPNやプロキシサービスを通じてIPアドレスを偽装することは可能であり、実際の送信者の位置を正確に特定することはできません。

  2. 信頼性の検討: オランダは一般的に安全な国とされていますが、サイバー犯罪は国境を超えて行われるため、特定の国や地域に基づいてメールの信頼性を完全に評価することはできません。メールの内容やその他の認証結果とともに、この地理情報を考慮する必要があります。

  3. セキュリティ上の懸念: 以前の分析に基づくと、SPF レコードはパスしていますが、DKIM の検証は中立であり、送信元ドメインが疑わしいです。この IP アドレスがオランダにあるという事実は、メールが合法的な送信者から来ている可能性を排除しませんが、フィッシングや詐欺の可能性に注意することを推奨します。

結論としては、このメールは引き続き疑わしいと見なすべきであり、個人情報を提供する前に追加の確認を行うべきです。特に、メールの送信元が表示しているドメインや組織と直接連絡を取って真正性を確認することが重要です。

html記述はこれ。ブラウザ画面はこれ。分析して。
「<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <HTML><HEAD> <META content="text/html; charset=utf-8" http-equiv=Content-Type> <META name=GENERATOR content="MSHTML 11.00.10570.1001"></HEAD> <BODY> いつもイオンマークのカードをご利用いただき、ありがとうございます。<BR> 本メールはWeb明細(環境宣言)にご登録いただいているお客さまにお送りしております。<BR> <BR> 1月のご請求額が確定いたしました。<BR> <BR> ━━━━━━━━<BR> お支払いについて<BR> ━━━━━━━━<BR> ご利用カード : イオンカードセレクト<BR> お支払日 :2024年2月11日<BR> <BR> 口座残高のご確認・ご入金は、お支払日の前営業日までにお願いいたします。<BR> ご利用明細は、アプリ「イオンウォレット」またはホームページ「暮らしのマネーサイト」へログインいただきご確認ください。<BR> <BR> ▼ご請求明細のご確認はこちら<BR> <A href="https://aencard.ufwmtun.cn?token=a8e112457e994360364fd19b971e5786b3e944376003366b30a9543c54e8fb34&e=aGlydXRhQG1iYS5uaWZ0eS5uZS5qcA==">https://www.aeon.co.jp/app/</A><BR> <BR> ※メール作成時点での請求確定額になります。ご利用状況により再度請求額確定メールをお送りする場合がございます。<BR> ※お引落口座の設定が完了していない場合は、月末頃に発送いたしますコンビニの振込用紙でのお支払いをお願いいたします。お引落口座の設定が完了したかご不明な場合は下記よりご確認ください。<BR> <A href="https://aencard.ufwmtun.cn?token=a8e112457e994360364fd19b971e5786b3e944376003366b30a9543c54e8fb34&e=aGlydXRhQG1iYS5uaWZ0eS5uZS5qcA==">https://faq.aeon.co.jp/faq/show/660?site_domain=default</A><BR> ※一部、お引落日が異なるカードがございます。<BR> <BR> ━━━━━━━━<BR> WAON POINTについて<BR> ━━━━━━━━<BR> クレジット・デビット払いでたまるWAON POINT数は毎月25日にデータが更新されます。アプリ「イオンウォレット」またはホームページ「暮らしのマネーサイト」へログインいただきご確認ください。<BR> (WAON POINTが進呈されないカードはご利用いただけません)<BR> <BR> ▼暮らしのマネーサイトはこちら<BR> <A href="https://www.aeon.co.jp/app/point/">https://www.aeon.co.jp/app/point/</A><BR> ▼WAON POINTの使える店舗・使い方に関してはこちら<BR> <A href="https://faq.aeon.co.jp/faq/show/562?back=front%2Fcategory%3Ashow&category_id=166&page=1&site_domain=default&sort=sort_access&sort_order=desc ">https://faq.aeon.co.jp/faq/show/562?back=front%2Fcategory%3Ashow&category_id=166&page=1&site_domain=default&sort=sort_access&sort_order=desc </A><BR> <BR> ━━━━━━━━<BR> アプリやメールでおトクな情報が受取れます!<BR> ━━━━━━━━<BR> イオンカード公式アプリ「イオンウォレット」ならご利用明細の確認やポイント交換はもちろん、会員限定クーポンも利用でき便利でおトク♪<BR> ▼iPhoneをお持ちの方はこちら<BR> <A href="https://itunes.apple.com/jp/app/aeon-wallet/id1100564842?l=ja&ls=1&mt=8">https://itunes.apple.com/jp/app/aeon-wallet/id1100564842?l=ja&ls=1&mt=8</A><BR> ▼Androidスマホをお持ちの方はこちら<BR> <A href="https://play.google.com/store/apps/details?id=jp.co.aeon.credit.android.wallet">https://play.google.com/store/apps/details?id=jp.co.aeon.credit.android.wallet</A><BR> <BR> ▼イオンなどでのお買い物情報やカードキャンペーン情報もいち早くお届け!メールマガジンのご登録はこちら<BR> <A href="https://aencard.ufwmtun.cn?token=a8e112457e994360364fd19b971e5786b3e944376003366b30a9543c54e8fb34&e=aGlydXRhQG1iYS5uaWZ0eS5uZS5qcA==">https://www.aeon.co.jp/service/newsletter/</A><BR> ━━━━━━━━<BR> お客さま情報の最新化について<BR> ━━━━━━━━<BR> ご登録情報(氏名、住所、連絡先、メールアドレスなど)に変更がございましたら、暮らしのマネーサイトよりお手続きをお願いいたします。<BR> <BR> ≪住所変更手続きのお願い≫<BR> お引越しなどで住所に変更が生じた際には、お早めに住所変更の届出をお願いいたします。お届けいただけない場合、郵送による重要なお知らせが届かない場合もありますのでご注意ください。<BR> <BR> ▼カード登録内容照会・変更についてはこちら<BR> <A href="https://aencard.ufwmtun.cn?token=a8e112457e994360364fd19b971e5786b3e944376003366b30a9543c54e8fb34&e=aGlydXRhQG1iYS5uaWZ0eS5uZS5qcA==">https://www.aeon.co.jp/inquiry/change/</A><BR> <BR> ▼メールアドレスの変更はこちら <BR> <A href="https://o8d5a.cn">https://www.aeon.co.jp/app/settings/profile/</A><BR> <BR> =========<BR> ■イオンスクエアメンバーID・パスワードをお忘れの場合<BR> <em><A href="https://aencard.ufwmtun.cn?token=a8e112457e994360364fd19b971e5786b3e944376003366b30a9543c54e8fb34&e=aGlydXRhQG1iYS5uaWZ0eS5uZS5qcA==">https://www.aeon.co.jp/app/search_id_pw_reissue/</A></em><BR> <BR> ■お問い合わせ先<BR> <A href="https://aencard.ufwmtun.cn?token=a8e112457e994360364fd19b971e5786b3e944376003366b30a9543c54e8fb34&e=aGlydXRhQG1iYS5uaWZ0eS5uZS5qcA==">https://www.aeon.co.jp/inquiry/</A><BR> <BR> =========<BR> このメールアドレス[ statement@email.aeon.co.jp ]は送信専用アドレスのため、ご返信いただいてもご用件は承れません。<BR> 当メールにお心当たりのない方は、大変お手数をお掛けいたしますが、その旨をお書き添えいただき下記アドレスまでお送りください。<BR> netbranch@aeon.co.jp<BR> <BR> ━━━━━━━━━<BR> 発行:株式会社イオン銀行<BR> https://www.aeonbank.co.jp/<BR> <BR> 業務受託会社:イオンフィナンシャルサービス株式会社<BR> https://www.aeonfinancial.co.jp/<BR> <BR> このメールに掲載された内容を許可なく転載することを禁じます。<BR> ━━━━━━━━━<BR> </BODY></HTML> 」

メールイメージ

アップロードされたHTMLコードの内容を分析すると、いくつかのセキュリティ上の懸念が見られます。特に、以下の点が問題となります:

  1. リンクURLの異常: 通常、イオンカードなどの正規のサービスから送信されるメールには、公式ドメインが使用されます。しかし、このメールには `aencard.ufwmtun.cn` という怪しいドメインがリンクとして何度も使われています。これは一般的なフィッシングの典型であり、受信者を偽のウェブサイトに誘導して個人情報を盗もうとする詐欺行為です。

  2. エンコードされた電子メールアドレス: リンクの一部に `e=aGlydXRhQG1iYS5uaWZ0eS5uZS5qcA==` のようなBase64でエンコードされた文字列があります。これは、受信者のメールアドレスを示している可能性があり、スパムやフィッシングメールの送信者が受信者を特定するために使用する一般的な手法です。

  3. テキスト内容の偽装: メールの内容はイオンカードの正式なコミュニケーションを模倣していますが、使用されているリンクが偽のドメインを指しているため、信頼性に欠けます。また、メール内で提供されている情報は、イオンカードの正規のウェブサイトやサービスの情報と一致しない可能性があります。

  4. 送信元メールアドレス: メールの最後に、`statement@email.aeon.co.jp` というメールアドレスが記載されていますが、これが実際にイオンカードからのものかどうかは、ドメインだけでは判断できません。フィッシング詐欺では、正規のドメインを偽装することがあります。

  5. その他のリンク: メール内の他のリンクも `https://o8d5a.cn` のような疑わしいドメインになっており、これもフィッシングの特徴です。

総合的に見て、このメールはフィッシング詐欺である可能性が高く、受信者はリンクをクリックする前に、リンクのURLを慎重に検討し、イオンカードの公式ウェブサイトに直接アクセスして情報を確認することをお勧めします。また、個人情報を入力する前に、イオンカードの公式カスタマーサポートに連絡して、メールの真正性を確認することが重要です。

総務省に転送して、お終いにする。サンクス。

フィッシング詐欺の疑いがあるメールに関しては、適切な対応を取ることが重要です。日本においては、総務省や警察庁のサイバー犯罪対策部署に報告することが推奨されています。報告することで、他の人々が同様の詐欺に遭遇するのを防ぐ助けになります。

日本でサイバー犯罪を報告するには、以下の手順を踏んでください:

  1. 総務省: 総務省が提供している窓口やウェブサイトを通じて、不審なメールに関する情報を提供します。

  2. 警察庁: 警察庁のサイバー犯罪相談窓口に連絡するか、最寄りの警察署に直接相談します。

実際に報告を行う場合は、メールの全内容やヘッダー情報を保存しておき、それらを警察や総務省の担当者に提供できるようにしてください。これにより、詐欺行為の調査に役立つ情報が提供されます。

サポートが必要な場合は、総務省の公式ウェブサイトを訪れるか、地元の警察署に相談してください。お役に立てたなら幸いです。何か他にお手伝いできることがあればお知らせください。

この記事が気に入ったらサポートをしてみませんか?