見出し画像

20240229-C(AEON・【重要】イオンカードからの重要なセキュリティ更新:フィッシングメール)

ヒル

提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの起源を特定してください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。IPアドレスの起源の特定は、私がやります。
「Return-Path:
aeon-update@swimspec.com
Received:
from ifmta0012.nifty.com
by ibmta0012.nifty.com
with ESMTP
id 20240207200510423.MGTI.94167.ifmta0012.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Thu, 8 Feb 2024 05:05:10 +0900
Received:
from mail3.swimspec.com([192.227.174.242])
by ifmta0012.nifty.com
with ESMTP
id 20240207200509612.RTPA.91631.mail3.swimspec.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Thu, 8 Feb 2024 05:05:09 +0900
Authentication-Results:
nifty.com; spf=pass smtp.mailfrom=aeon-update@swimspec.com; sender-id=pass header.From=aeon-update@swimspec.com;
dkim=pass header.i=aeon-update@swimspec.com;
dkim-adsp=pass header.from=aeon-update@swimspec.com
DKIM-Signature:
v=1; a=rsa-sha256; c=relaxed/relaxed; s=default; d=swimspec.com;
h=Date:From:To:Subject:Mime-Version:Message-ID:Content-Type; i=aeon-update@swimspec.com;
bh=bcO1kNzHEjcMcvNkcQ61NZpJEpLZkUJToDntYYk+KKM=;
b=nOp4Pw3nCkcySxQidjr6i1R8F2LwB//RuusDyTo+3MIyqIHcmRrHwMPPkW/H01HiGQVvjqhgOz/U xDB84joOI/TsK0HhHtXM5mUVhMJZ2I9C5C7owJP0vjEtyo/R4XKg7gYi0SJ1vvByDztpX6OyiO5Q MhxIwROwLkm2wqxL9QU=
Date:
Thu, 8 Feb 2024 05:05:00 +0900
From:
イオンカード aeon-update@swimspec.com
To:
xxxxxxxx xxxxxxxx@xxxxx.nifty.ne.jp
Subject:
【重要】イオンカードからの重要なセキュリティ更新
X-Has-Attach:
no
Mime-Version:
1.0
Message-ID:
202402080505076560675@swimspec.com
Content-Type:
multipart/alternative; boundary="=====001_Dragon407757600085_====="」

メールヘッダーの詳細な分析を行うために、提供された情報を元に各セクションについて解説します。

Received ヘッダーの解析

nifty.com のサーバー

  • 送信元: ifmta0012.nifty.com

  • 送信先: ibmta0012.nifty.com

  • IPアドレス: (提供されていないが、niftyのメールサーバーとして識別)

  • 日時: Thu, 8 Feb 2024 05:05:10 +0900

  • 解析: この行は、niftyの内部メールルーティングを示しています。セキュリティ上の懸念は特に見受けられません。

swimspec.com のサーバー

  • 送信元: mail3.swimspec.com

  • 送信先: ifmta0012.nifty.com

  • IPアドレス: 192.227.174.242

  • 日時: Thu, 8 Feb 2024 05:05:09 +0900

  • 解析: この行は、swimspec.comからnifty.comへのメール送信を示しています。IPアドレス192.227.174.242から送信されています。

SPF (Sender Policy Framework)

  • 結果: pass

  • 解析: SPFの結果が"pass"であることは、メールがswimspec.comの送信ポリシーに準拠していることを示します。これは、メールの送信元が正当であることを示す良い兆候です。

DKIM (DomainKeys Identified Mail)

  • 結果: pass

  • 解析: DKIMも"pass"であり、これはメールが変更されずに届いたこと、そしてその署名がswimspec.comによって正しく検証されたことを示しています。これは、メールの真正性と完全性を保証するものです。

DKIM-ADSP (Author Domain Signing Practices)

  • 結果: pass

  • 解析: ADSPも"pass"で、これはドメインの署名ポリシーに従っていることを示します。これもまた、メールの真正性を示すもう一つの良い指標です。

送信元ドメインの信頼性 (swimspec.com)

  • 評価: SPFとDKIMの結果が共に"pass"であることは、ドメインがメールのセキュリティプラクティスを適切に実装していることを示しています。しかし、ドメイン名自体やその使用目的に関しては、追加の評価が必要です。不正な活動の報告、ドメインの評判、及び関連するセキュリティ情報を調査することが推奨されます。

セキュリティ上の懸念

  • 分析: 提供されたヘッダー情報からは、SPFとDKIMの結果が共に"pass"であり、これは良いセキュリティプラクティスの適用を示しています。しかし、最終的なメールの安全性や信頼性を評価するには、送信元ドメインの追加調査が必要です。

結論

提供された情報に基づいて、メールはセキュリティ上の基本的なチェック(SPFとDKIM)を通過していますが、送信元ドメインの評判やその他の関連情報に基づく追加の評価が必要です。メールの内容やリンクには注意を払い、不審な点があれば開かないことを推奨します。

IPアドレスの場所はここ。

アップロードされた画像に基づいて、IPアドレス192.227.174.242はアメリカ合衆国ニューヨーク州バッファローに位置していることが確認できます。ホスト名は192-227-174-242-host.colocrossing.comと記されており、ColoCrossingというホスティングプロバイダーによって運営されている可能性が高いです。

この情報は、メールサーバーの物理的な場所や所有者に関する追加のコンテキストを提供します。しかしながら、IPアドレスの地理的位置だけでは、そのメールサーバーが信頼できるかどうか、またはそのIPが不正な活動に関与しているかどうかを決定するのに十分ではありません。IPアドレスが知られたデータセンターやホスティングプロバイダーに属している場合、そのIPからのメールはレジティメートなビジネスやサービスによるものである可能性がありますが、最終的な信頼性の評価には、そのドメインの評判や追加のコンテキストが必要です。

テキスト部分はこれ。
「 P {margin-top:0;margin-bottom:0;LINE-HEIGHT: 20px;}

イオンカードをご利用いただき、ありがとうございます。

現在、弊社ではお客さまが弊社にご登録いただいている各種情報の最新性を確認しております。ご回答いただけない場合、カードのご利用制限が継続される可能性がございますので、予めご了承ください。

そのあたりの「一応」をこれからお話します。

アカウントのご利用確認のお知らせについてはこちら

また、テロリストへの資金供与の未然防止への対応がますます重要となってきております。弊社では、金融庁および経済産業省が公表している「マネー・ローンダリングおよびテロ資金供与対策に関するガイドライン」等を踏まえ、お客さまが弊社にご登録いただいている各種情報等について、現在の情報に更新されているかどうかを確認させていただいております。お手数をおかけしますが、ご協力をお願い申し上げます。

「○○さんがあなたにグリーティングカードを送りました」というようなメッセージとともにリンクの

最後までお読みいただき、ありがとうございました。

当社は、当社が必要と認めた場合において本サービスの終了および内容の変更を当社の判断にて実施します。

4g※本メールは重要なお知らせのため、メール配信をご希望されないお客さまへも配信しております。

4g※本メールは送信専用です。ご返信いただいても対応はいたしかねますのでご了承ください。

こちらの5030シリーズでは4kチューナーを2基搭載しており、4k放送の視聴はもちろん裏番組録画も可能となっています。

All Rights Reserved.Copyright© AEON Financial Service Co.,Ltd.」

このメールテキストは、イオンカードの利用者に対していくつかの注意点とアクションを求める内容のようです。重要なポイントを以下にまとめます。

  1. 情報の最新性の確認: イオンカードの利用者に対して、登録情報の最新性の確認を促しています。更新に応じないとカードの利用制限が継続される可能性があると警告しています。

  2. マネー・ローンダリングとテロ資金供与対策: 金融庁および経済産業省のガイドラインに従って、利用者の登録情報の現状を確認すると述べています。これは法律遵守のための一般的な手続きであると考えられます。

  3. サービスの変更通知: 当社はサービスの終了や内容の変更を行う権利を保持していると説明しています。

  4. メールの性質と対応: このメールは重要なお知らせであり、送信専用であるため返信しても対応されないと明記しています。

  5. 商品情報: 5030シリーズには4kチューナーが2基搭載されており、4k放送の視聴及び裏番組録画が可能であるという商品情報が含まれています。

  6. 著作権表示: メールの最後にはイオンフィナンシャルサービスの著作権表示があります。

これらの情報点は合法的なメールコミュニケーションの特徴を持っていますが、フィッシング詐欺などの不正なメールでも似たような内容が使われることがあります。そのため、以下の点に注意する必要があります。

  • リンク: メールに含まれるリンクが正規のものであるかどうか、また、それが安全なウェブページに導くものであるかを確認する必要があります。

  • 送信元の確認: メールの送信元のドメインがイオンカードの公式ドメインと一致するかを確認します。

  • 公式サイトでの確認: メールに記載されている手続きや情報が正しいかどうか、イオンカードの公式サイトで確認します。

もしメールの真正性に疑問がある場合は、リンクをクリックせず、公式のカスタマーサービスに直接問い合わせるべきです。

日本語に不自然な所と、テキスト文にhtmlコードがむき出しになっているところに気が付かなかった?

申し訳ありませんが、メールのテキストにはいくつかの不自然な点があります。まず、HTMLタグの「P {margin-top:0;margin-bottom:0;LINE-HEIGHT: 20px;}」がテキストの中にむき出しで表示されています。これはメールがHTML形式で書かれている場合に、スタイルを指定するためのCSSコードですが、通常はユーザーには見えないようになっているべきです。このコードが見えるということは、メールの形式に何らかの問題があるか、テキスト形式で誤って送信された可能性があります。

また、「そのあたりの「一応」をこれからお話します。」という文も不自然です。この文は文脈に合っていないようで、何を「一応」お話しするのかが明確ではありません。正しい文脈がないと、この文は意味を成しません。

さらに、「『○○さんがあなたにグリーティングカードを送りました』というようなメッセージとともにリンクの」という部分は不完全で、文章が途中で切れています。これはメールの内容が不完全であるか、誤って編集された可能性があります。

このような不自然な点や、メール形式の問題は、受信者がメールの真正性に疑問を持つ理由となります。このメールが正当なコミュニケーションであるか、詐欺やフィッシングの試みであるかを判断する際には、これらの不自然な点に特に注意する必要があります。もし真正性に疑いがある場合は、既述の通り、公式の連絡先に直接問い合わせることが最も安全な対応策です。

html記述はこれ。ブラウザ画面はこれ。分析して。
「<html> <head> <meta content="text/html; charset=utf-8" http-equiv=Content-Type> <style style="display:none;" type=text/css> P {margin-top:0;margin-bottom:0;LINE-HEIGHT: 20px;} </style> </head> <body style="background:#ffffff;" dir=ltr> <center> <table> <tbody> <tr> <td style="width:640px;border-collapse:collapse !important;word-break:break-all !important;padding-bottom:0px;padding-top:0px;padding-left:0px;margin:0px auto;padding-right:0px;"> <div style="font-size:14px;text-decoration:none;font-family:Ember,Helvetica,Arial,sans-serif;word-break:break-all !important;font-weight:400;color:black;"> <p style="height:3px;line-height:3px;background-color:#b80084;"></p><br> <div style="border-top:0px;border-right:0px;vertical-align:baseline;border-bottom:0px;zoom:1;padding-bottom:0px;text-align:center;padding-top:0px;padding-left:0px;border-left:0px;margin:0px;padding-right:0px;"><img style="box-sizing:border-box;text-decoration:none;max-width:100%;border-top:0px;border-right:0px;border-bottom:0px;zoom:1;padding-bottom:0px;padding-top:0px;padding-left:0px;border-left:0px;margin:0px;display:inline-block;padding-right:0px;" alt=ae src="https://www.aeon.co.jp/-/media/aeoncard/assets/images/common/logo-moneysite.png" width=147 height=30> </div> <p><br>イオンカードをご利用いただき、ありがとうございます。</p> <p><br>現在、弊社ではお客さまが弊社にご登録いただいている各種情報の最新性を確認しております。ご回答いただけない場合、カードのご利用制限が継続される可能性がございますので、予めご了承ください。</p> <div style="filter:Alpha(opacity=0);opacity:0;" data-ignore> <p style="font-size:1px;color:#ffffff;line-height:1px;-webkit-touch-callout:none;-webkit-user-select:none;-khtml-user-select:none;-moz-user-select:none;-ms-user-select:none;user-select:none;">そのあたりの「一応」をこれからお話します。</p></div><br> <div style="text-align:center;display:block;"><a href="https://www.sankarainsurance.com" target=_blank>アカウントのご利用確認のお知らせについてはこちら</a></div> <p><br>また、テロリストへの資金供与の未然防止への対応がますます重要となってきております。弊社では、金融庁および経済産業省が公表している「マネー・ローンダリングおよびテロ資金供与対策に関するガイドライン」等を踏まえ、お客さまが弊社にご登録いただいている各種情報等について、現在の情報に更新されているかどうかを確認させていただいております。お手数をおかけしますが、ご協力をお願い申し上げます。</p> <div style="filter:Alpha(opacity=0);opacity:0;" data-ignore> <p style="font-size:1px;color:#ffffff;line-height:1px;-webkit-touch-callout:none;-webkit-user-select:none;-khtml-user-select:none;-moz-user-select:none;-ms-user-select:none;user-select:none;">「○○さんがあなたにグリーティングカードを送りました」というようなメッセージとともにリンクの</p></div><br> <p>最後までお読みいただき、ありがとうございました。</p> <p>&nbsp;</p> <div style="filter:Alpha(opacity=0);opacity:0;" data-ignore> <p style="font-size:1px;color:#ffffff;line-height:1px;-webkit-touch-callout:none;-webkit-user-select:none;-khtml-user-select:none;-moz-user-select:none;-ms-user-select:none;user-select:none;">当社は、当社が必要と認めた場合において本サービスの終了および内容の変更を当社の判断にて実施します。</p></div> <p style="font-size:14px;text-decoration:none;font-family:Ember,Helvetica,Arial,sans-serif;word-break:break-all !important;font-weight:400;color:black;"><font color=white>4g</font>※本メールは重要なお知らせのため、メール配信をご希望されないお客さまへも配信しております。<br><br><font color=white>4g</font>※本メールは送信専用です。ご返信いただいても対応はいたしかねますのでご了承ください。</p> <p style="font-size:14px;text-decoration:none;font-family:Ember,Helvetica,Arial,sans-serif;word-break:break-all !important;font-weight:400;color:black;">&nbsp;</p> <div style="filter:Alpha(opacity=0);opacity:0;" data-ignore> <p style="font-size:1px;color:#ffffff;line-height:1px;-webkit-touch-callout:none;-webkit-user-select:none;-khtml-user-select:none;-moz-user-select:none;-ms-user-select:none;user-select:none;">こちらの5030シリーズでは4kチューナーを2基搭載しており、4k放送の視聴はもちろん裏番組録画も可能となっています。</p></div> <div style="font-size:14px;text-decoration:none;font-family:Ember,Helvetica,Arial,sans-serif;word-break:break-all !important;font-weight:400;color:black;"> <p style="height:1px;line-height:1px;background-color:#cccccc;"></p></div> <p style="font-size:10px;text-decoration:none;font-family:Ember,Helvetica,Arial,sans-serif;word-break:break-all !important;font-weight:400;color:#666666;line-height:14px;" align=center><br>All Rights Reserved.Copyright© AEON Financial Service Co.,Ltd.</p></div></td></tr></tbody></table></center> </body> </html> 」

メールイメージ

アップロードされたHTMLコードの分析から、いくつかの重要なポイントが指摘できます:

  1. 隠されたテキスト: `filter:Alpha(opacity=0);opacity:0;` というスタイルが適用されている要素があり、これによりテキストが透明になり、画面上では見えなくなっています。このようなテクニックは、検索エンジン最適化(SEO)のために使われることがありますが、ユーザーを誤解させたり、隠しリンクを設置するなどの不正な目的に使用されることもあります。

  2. 不自然なメッセージ: 「そのあたりの「一応」をこれからお話します。」や「○○さんがあなたにグリーティングカードを送りました」というようなメッセージが隠されたテキストとして存在しており、これはスパムやフィッシング詐欺のメールによく見られる特徴です。通常のビジネスメールでこのような隠しテキストを使用することはありません。

  3. 不明瞭なリンク: リンクテキスト「アカウントのご利用確認のお知らせについてはこちら」は、sankarainsurance.com というドメインに関連付けられていますが、これはイオンカードの公式ドメインではないように見えます。フィッシング詐欺の可能性があります。

  4. メール配信に関する記述: メールは送信専用であり、受信者が返信しても対応されないとされています。これは合法的な通知メールで一般的ですが、フィッシング詐欺の際にも使用されるため、他の要素と合わせて総合的に評価する必要があります。

  5. スタイルの誤用: HTMLタグ内のCSSは一般的には`<style>`タグ内に記述され、`style="display:none;"` 属性は該当するタグに直接適用されるべきですが、ここでは `<style>` タグ自体に適用されており、これは標準的な使用方法ではありません。

  6. メールの形式: メールはHTML形式で記述されており、様々なスタイルが適用されています。これは一般的には問題ありませんが、ソースコードの中に隠しテキストや不自然なリンクが含まれているため、疑わしい点があります。

  7. 著作権表示: メールの最後にはイオンフィナンシャルサービスの著作権表示がありますが、これは合法的な企業からのメールによく見られる要素です。

全体として、このHTMLコードにはフィッシング詐欺や不正な行為を疑わせる要素がいくつかあります。リンクが不明瞭であり、隠されたテキストが含まれている点に特に注意が必要です。もし実際にこのようなメールを受信した場合は、リンクをクリックせず、イオンカードの公式ウェブサイトを直接訪れるか、公式のカスタマーサービスに連絡して真正性を確認することをお勧めします。

総務省に転送して、お終いにする。サンクス。

フィッシング詐欺やスパムと疑われるメールを受信した場合、それを総務省や関連する監督官庁に報告することは良い判断です。日本では、総務省がこうした不正な通信に対処するための対策を講じています。メールを転送する際は、総務省が指定するメールアドレスまたはオンラインフォームを使用してください。必要な情報を提供し、自身の身元情報は保護するよう注意してください。

お手伝いできて光栄です。これ以上の支援が必要な場合は、いつでもお知らせください。ありがとうございました。

この記事が気に入ったらサポートをしてみませんか?