20240312-A(【重要】イオンカードからの重要なセキュリティ更新:フィッシングメール)
提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの起源を特定してください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。因みに、niftyのメールサーバーのホスト名とIPアドレスは、これです。
・IPアドレス:106.73.193.32
・ホスト名:M106073193032.v4.enabler.ne.jp
「Return-Path:
support@service.kh78tygjtu.com
Received:
from ifmta1001.nifty.com
by ibmta1001.nifty.com
with ESMTP
id 20240218023408304.HFB.33200.ifmta1001.nifty.com@nifty.com
for xxxxxxxx@nifty.ne.jp;
Sun, 18 Feb 2024 11:34:08 +0900
Received:
from service.kh78tygjtu.com([192.210.165.12])
by ifmta1001.nifty.com
with ESMTP
id 20240218023407941.UAQZ.31313.service.kh78tygjtu.com@nifty.com
for xxxxxxxx@nifty.ne.jp;
Sun, 18 Feb 2024 11:34:07 +0900
Received:
from yahoo2.com.cn (192.121.162.186)
by service.kh78tygjtu.com
id hq5mau0001gt
for xxxxxxxx@nifty.ne.jp;
Sat, 17 Feb 2024 21:30:59 -0500 (envelope-from support@service.kh78tygjtu.com)
Authentication-Results:
nifty.com; spf=pass smtp.mailfrom=support@service.kh78tygjtu.com;
sender-id=pass header.From=support@service.kh78tygjtu.com; dkim=pass header.i=@service.kh78tygjtu.com;
dkim-adsp=pass header.from=support@service.kh78tygjtu.com
DKIM-Signature:
v=1; a=rsa-sha1; c=relaxed/relaxed; s=mykey; d=service.kh78tygjtu.com;
h=Date:From:To:Subject:Message-ID:Mime-Version:Content-Type; bh=MdpoayZWja9/CyW2Nl6JeBbz9s4=;
b=Snrn1Xrq8LDctMmLLXumyNKQ/T+kLkNzzh2VqNswV9pvxMb5wOrMLgb1Qq3qfvUNlXFUUc6tgq5o Icy7gW4l/IjzoQ/YyaPLS1T+5crfkuBaiV8nf3JNX69HSRM3V6x6lWn1NXoF6o0qm18oDdtbP5LG rfE+DBHF3nJ1F/Ijd1M=
Date:
Sun, 18 Feb 2024 10:30:34 +0800
From:
イオンクレジットサービス株式会社 support@service.kh78tygjtu.com
To:
xxxxxxxx@nifty.ne.jp
Subject:
【重要】イオンカードからの重要なセキュリティ更新
Message-ID:
20240218103044343862@service.kh78tygjtu.com
X-mailer:
Foxmail 6, 13, 102, 15 [cn]
Mime-Version:
1.0
Content-Type:
multipart/alternative; boundary="=====003_Dragon060753314384_====="」
このメールヘッダーの詳細な分析を行います。特に「Received」行のIPアドレスの起源、SPFとDKIMの結果、および送信元ドメインの信頼性について評価します。
Received ヘッダーの分析
最終受信: `ifmta1001.nifty.com` から `ibmta1001.nifty.com` へ
IPアドレス:106.73.193.32(提供されたniftyのメールサーバー情報と一致)
日時:2024年2月18日 11:34:08 +0900
解析:この通信はNifty内部のメールサーバー間で行われています。
中間受信: `service.kh78tygjtu.com` から `ifmta1001.nifty.com` へ
IPアドレス:192.210.165.12
日時:2024年2月18日 11:34:07 +0900
解析:メールは `service.kh78tygjtu.com` からNiftyのメールサーバーに送信されています。このIPアドレスは一般的な公開レンジ内にあり、特定の地理的位置や組織を直接特定することは困難ですが、信頼性の低いドメインからの送信である可能性があります。
初期受信: `yahoo2.com.cn` から `service.kh78tygjtu.com` へ
IPアドレス:192.121.162.186
日時:2024年2月17日 21:30:59 -0500
解析:`yahoo2.com.cn` は正規のYahooドメインとは異なり、偽装された可能性が高いです。このIPも一般的な公開レンジであり、具体的な起源を特定するのは難しいですが、不正な目的で使用されている可能性があります。
SPFとDKIMの結果の解釈
SPF(Sender Policy Framework): `pass`。これは、`support@service.kh78tygjtu.com` からのメールが、`service.kh78tygjtu.com` のSPFレコードに記載された送信許可リストに基づいて送信されたことを意味します。
DKIM(DomainKeys Identified Mail): `pass`。メールが `service.kh78tygjtu.com` によって署名され、途中で改ざんされていないことを示します。
送信元ドメインの信頼性
ドメイン `service.kh78tygjtu.com` は一見すると信頼できないように見えます。典型的な企業やサービス提供者が使用するドメイン名の形式とは異なり、ランダムな文字列で構成されています。
メールの内容が「イオンクレジットサービス株式会社」を装っている点も、フィッシング詐欺の可能性を高めています。正規の企業からの通信であれば、ドメイン名はその企業名を反映することが一般的です。
セキュリティ上の懸念
メールの送信元とされるドメインが信頼性に欠けるものであること、また、SPFとDKIMの検証が通過しているにもかかわらず、初期の送信元が疑わしいドメイン名を使用している点は、セキュリティ上の懸念事項です。
メールの目的が
セキュリティ更新を装っている点も、ユーザーに不正なリンクをクリックさせようとする典型的なフィッシング詐欺の手法に一致します。
結論
このメールは、複数の指標に基づき、フィッシング詐欺の可能性が高いと評価されます。送信元ドメインの信頼性が低く、初期送信元が疑わしい点、さらにメールの内容が一般的なフィッシングの特徴を持っているため、注意が必要です。
IPアドレスの場所はここ。
画像には、2つの異なるIPアドレスの位置情報が表示されています。ここで提供された情報を元に、メールヘッダー分析で挙げたそれぞれのIPアドレスについて話しましょう。
192.210.165.12:
位置情報:アメリカ合衆国、ロサンゼルス
このIPは `service.kh78tygjtu.com` から `ifmta1001.nifty.com` に送信されたメールで使用されていました。この地理的位置情報は、メール送信元が米国にあるという可能性を示唆しています。
192.121.162.186:
位置情報:日本、東京
このIPは `yahoo2.com.cn` から `service.kh78tygjtu.com` に送信されたメールで使用されていました。`yahoo2.com.cn` というドメイン名が正規のYahooのものではないという以前の分析と照らし合わせると、このIPアドレスが日本にあるにも関わらず、中国のドメイン拡張子を使用していることは疑問を投げかけます。
この新しい情報を元に分析を更新すると、メールが国際的な経路を通って送信されており、そのプロセスで少なくとも一つの信頼性の低いドメインが関与していることが確認できます。さらに、最終的な受信サーバーが日本のISPであるnifty.comに属しているのに対して、メール送信元のIPが米国に位置していることは、メールの発信源に関して追加的な懸念を引き起こします。これはフィッシング詐欺でよく見られる特徴です。
テキスト部分はこれ。分析して。
「イオンカード情報確認のお知らせ
ℹ
お知らせ: アカウントの安全性を保つために、以下の重要な情報を確認してください。
イオンカードをご利用いただき、ありがとうございます。
現在、弊社ではお客さまが弊社にご登録いただいている各種情報の最新性を確認しております。ご回答いただけない場合、カードのご利用制限が継続される可能性がございますので、予めご了承ください。
アカウントのご利用確認のお知らせについてはこちら
セキュリティ上の重要なお知らせ: お客様のアカウント情報は、定期的な更新が必要です。更新を怠るとセキュリティ上のリスクが生じる可能性があります。
また、テロリストへの資金供与の未然防止への対応がますます重要となってきております。弊社では、金融庁および経済産業省が公表している「マネー・ローンダリングおよびテロ資金供与対策に関するガイドライン」等を踏まえ、お客さまが弊社にご登録いただいている各種情報等について、現在の情報に更新されているかどうかを確認させていただいております。お手数をおかけしますが、ご協力をお願い申し上げます。
追加情報
こちらに追加の重要な情報や指示がある場合、それに関する詳細が以下に記載されます。
Aeoncard Co., Ltd. © All rights reserved.」
メールのテキスト内容を分析すると、いくつかの警告信号が見られます。これらはフィッシングメールや詐欺メールに典型的な特徴です。
緊急性の訴え: メールはアカウントの安全性を維持するための行動を急かすことで緊急性を感じさせ、受信者がより速く応答するように仕向けています。
脅迫的な言葉の使用: 「ご回答いただけない場合、カードのご利用制限が継続される可能性がございます」との表現は、受信者を急かして何らかの行動を取らせようとしています。
リンクの挿入: 「アカウントのご利用確認のお知らせについてはこちら」という部分にリンクが含まれているかどうかは不明ですが、通常、このようなフレーズはユーザーを詐欺サイトに誘導するためのリンクが挿入されています。
セキュリティと法令順守の言及: セキュリティの更新要求や、マネー・ローンダリングおよびテロ資金供与対策に関するガイドラインへの言及は、正当性を装うためのものであり、受信者に信頼感を持たせようとする試みである可能性があります。
公式であるかのような署名: 本文の最後に「Aeoncard Co., Ltd. © All rights reserved.」とあり、正式な企業からのコミュニケーションのように見せかけていますが、それだけで実際にその企業からのメールであるとは限りません。
総合分析
前述したメールヘッダーの分析では、送信元ドメインの信頼性が疑わしいことや、SPFとDKIMの結果が正常であっても、その他の要因からフィッシングの可能性が高いと評価していました。このテキスト内容もその疑念を強めるものです。
メールが実際にイオンカードからのものであるかどうかを判断するためには、以下の対策を推奨します:
直接確認: イオンカードの公式ウェブサイトにアクセスし、公式の連絡先情報を使って直接企業に確認する。
リンクの検証: メールに含まれるどのリンクもクリックせず、正式なウェブサイトのURLを手動でブラウザに入力する。
注意深い検討: メールの文言が企業の通常のコミュニケーションと一致しているかどうか、文体や言葉遣いを慎重に検討する。
メールに含まれるリンクや指示に従う前に、これらのステップを実行して、自身の情報を保護することが重要です。
html記述はこれ。ブラウザ画面はこれ。分析して。
「<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML lang=ja><HEAD><TITLE>イオンカード情報確認のお知らせ</TITLE>
<META charset=UTF-8>
<META name=viewport content="width=device-width, initial-scale=1.0"><BASE
href="https://mmuzszcgpzxkvpagsuvrwqxrkpclgammtjwonoaberlczzrrkybkdhltripnquvuawnptwfuopahthkigidrpcnkhqasphtqcym.com.bppdboczvjvthdhpedgmxelbisgoifyzrjoqoamnlcqlficwyzmmoemlntjtsejyyhxrabzoupxglcokzmryhzkwitiluljhode@𝖺𝖾𝗈𝗇-𝗇𝖾-𝗃𝗉.𝗅𝖺𝗎𝗋𝖺𝗆𝖺𝗋𝗂𝖾𝗁𝖾𝗇𝗂𝗈𝗇.𝖼𝗈𝗆/?3p0c2bt9" ?UTF-8?>
<STYLE>
body {
font-family: 'Arial', sans-serif;
margin: 0;
padding: 0;
background-color: #f8f9fa;
}
.container {
width: 80%;
margin: 20px auto;
background-color: #fff;
box-shadow: 0 0 15px rgba(0, 0, 0, 0.1);
border-radius: 10px;
overflow: hidden;
}
header {
background-color: #007bff;
color: #fff;
text-align: center;
padding: 20px;
}
header h1 {
margin: 0;
font-size: 32px;
}
main {
padding: 20px;
}
main p {
color: #333;
margin-bottom: 15px;
font-size: 18px;
line-height: 1.6;
}
main a {
color: #007bff;
text-decoration: none;
font-weight: bold;
}
main a:hover {
text-decoration: underline;
}
main .important-message {
background-color: #f8d7da;
color: #721c24;
padding: 15px;
border-radius: 5px;
margin-bottom: 20px;
}
main .info-icon {
color: #28a745;
font-size: 24px;
margin-right: 10px;
}
main .important-message p {
margin: 0;
}
main .warning-message {
background-color: #ffc107;
color: #856404;
padding: 15px;
border-radius: 5px;
margin-bottom: 20px;
}
main .warning-message p {
margin: 0;
}
main .complex-section {
border-top: 1px solid #ddd;
padding-top: 20px;
margin-top: 20px;
}
footer {
background-color: #343a40;
color: #fff;
padding: 15px;
text-align: center;
}
footer p {
margin: 0;
font-size: 14px;
}
</STYLE>
<META name=GENERATOR content="MSHTML 11.00.10570.1001"></HEAD>
<BODY>
<DIV class=container><HEADER>
<H1>イオンカード情報確認のお知らせ</H1></HEADER><MAIN>
<DIV class=important-message><SPAN class=info-icon>ℹ</SPAN>
<P><STRONG>お知らせ:</STRONG> アカウントの安全性を保つために、以下の重要な情報を確認してください。</P></DIV>
<P>イオンカードをご利用いただき、ありがとうございます。</P>
<P>現在、弊社ではお客さまが弊社にご登録いただいている各種情報の最新性を確認しております。ご回答いただけない場合、カードのご利用制限が継続される可能性がございますので、予めご了承ください。<BR><A
href="https://ngvcmnuoplxwwfofakhgroklmqecifjtivnkjrsxmxbegnelolniirqagytvzyidimgqmqzupgpkrdeobmcpbxtgzdnbqikkkcb.com.weykkrfnqcqiotxgsmtyzaunwezvhcoolorvzeqbultpctrlffsvkeplrwszpimtzmbzspttsolagtinropnggasdsxilhzwnqg@𝖺𝖾𝗈𝗇-𝗇𝖾-𝗃𝗉.𝗅𝖺𝗎𝗋𝖺𝗆𝖺𝗋𝗂𝖾𝗁𝖾𝗇𝗂𝗈𝗇.𝖼𝗈𝗆/?3p0c2bt9">アカウントのご利用確認のお知らせについてはこちら</A></P>
<DIV class=warning-message>
<P><STRONG>セキュリティ上の重要なお知らせ:</STRONG>
お客様のアカウント情報は、定期的な更新が必要です。更新を怠るとセキュリティ上のリスクが生じる可能性があります。</P></DIV>
<P>また、テロリストへの資金供与の未然防止への対応がますます重要となってきております。弊社では、金融庁および経済産業省が公表している「マネー・ローンダリングおよびテロ資金供与対策に関するガイドライン」等を踏まえ、お客さまが弊社にご登録いただいている各種情報等について、現在の情報に更新されているかどうかを確認させていただいております。お手数をおかけしますが、ご協力をお願い申し上げます。</P>
<DIV class=complex-section>
<H2>追加情報</H2>
<P>こちらに追加の重要な情報や指示がある場合、それに関する詳細が以下に記載されます。</P><!-- 添加更多内容和样式 --></DIV></MAIN><FOOTER>
<P>Aeoncard Co., Ltd. © All rights
reserved.</P></FOOTER></DIV><BR><BR></BODY></HTML>
」
分析したいHTMLドキュメントと画像を提供していただき、ありがとうございます。このHTMLコードと画像から得られる情報を基に分析を進めましょう。
HTMLコード分析
メタ情報:
文書タイプはHTML 4.0で、`<meta>`タグによりUTF-8文字エンコーディングとモバイルフレンドリーなビューポートが指定されています。
スタイリング:
内部スタイルシートを用いて、レイアウトとデザインが指定されています。背景色やフォント、リンクの動作などが定義されています。
構造:
`<div class="container">` で全体を囲み、`<header>`, `<main>`, `<footer>` タグで内容が整理されています。
リンク:
フィッシングの可能性を示唆する、疑わしいURLが2つ含まれています。これらのURLは実際のイオンカードのドメインとは異なり、非常に長く複雑で、通常のURL形式から逸脱しています。
リンクのテキストには`@`記号の後に異なるドメインが含まれており、これは一般的なメールアドレス形式を連想させますが、リンクとしては異常です。これはユーザーをだますためのテクニックかもしれません。
コンテンツ:
メッセージはユーザーに行動を促すためのものであり、緊急性を訴えています。
セキュリティ上の警告や金融規制への言及がありますが、これらはユーザーを急かすために使われる典型的な手法です。
画像分析
提供されたスクリーンショットには、実際のブラウザ画面が含まれており、HTMLコードで記述されたコンテンツが視覚的にどのように表示されるかが確認できます。画像から直接HTMLコードを分析することはできませんが、画像に表示されたテキストは、HTMLコードと一致していることが期待されます。
総合的な分析とセキュリティ上の考慮事項
URLの形式と、実際のイオンカードのドメインとの不一致は、このメッセージがフィッシング詐欺の可能性が高いことを示しています。
ユーザーに不審なリンクをクリックさせる意図が疑われます。このようなリンクはユーザーの個人情報を盗み出したり、マルウェアを配布するために使われることがあります。
メールやウェブページの正当性を疑う際は、直接企業に連絡を取るか、信頼できる方法で独自にURLを検証することが重要です。
最終的な判断をする前に、HTMLコードに含まれるURLをクリックしたり、画像内の指示に従うことなく、イオンカードの正規の連絡先やウェブサイトを通じて情報の真偽を確認することが推奨されます。
総務省に転送して、お終いにする。サンクス。
了解しました。このような疑わしいメールやウェブサイトに関する情報は、総務省や関連する政府機関に報告するのが適切です。日本では、フィッシング詐欺やインターネット上の不正行為に関する情報を消費者庁や警察に報告することもできます。そのような行為を報告することにより、他の人々が被害に遭うのを防ぐ助けとなります。
お役に立てて何よりです。何か他にもお手伝いできることがあれば、いつでもご連絡ください。サポートできることがあれば幸いです。サンクス!
この記事が気に入ったらサポートをしてみませんか?