20240620-A(ヤマト運輸株式会社・お荷物お届けのお知らせ【受け取りの日時や場所をご指定ください】：フィッシングメール)

◆メールイメージ

ブラウザ表示

◆メールヘッダー解析
「Return-Path:
Malcolm-xxxxxxxx@olson-respond.citazone.com
Received:
from ifmta1006.nifty.com
by ibmta1006.nifty.com
with ESMTP
id 20240619235603656.QODA.92581.ifmta1006.nifty.com@nifty.com
for xxxxxxx@xxxxx.nifty.ne.jp;
Thu, 20 Jun 2024 08:56:03 +0900
Received:
from olson-respond.citazone.com([59.60.120.48])
by ifmta1006.nifty.com
with ESMTP
id 20240619235602137.XDAZ.85848.olson-respond.citazone.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Thu, 20 Jun 2024 08:56:02 +0900
Authentication-Results:
nifty.com; spf=none smtp.mailfrom=Malcolm-xxxxxxxx@olson-respond.citazone.com;
sender-id=none header.From=Malcolm-xxxxxxxx@olson-respond.citazone.com;
dkim=none;
dkim-adsp=none header.from=Malcolm-xxxxxxxx@olson-respond.citazone.com
Date:
Thu, 20 Jun 2024 07:55:33 +0800
To:
xxxxxxxx@xxxxx.nifty.ne.jp
From:
ヤマト運輸株式会社 Malcolm-xxxxxxxx@olson-respond.citazone.com
Reply-To:
vikd0u9e5tqqs90a8wl@pointcard.rakuten.co.jp
Subject:
お荷物お届けのお知らせ【受け取りの日時や場所をご指定ください】06/20/2024 07:55:33 am
Message-ID:
17c4299ae4e0389252547dcd6c4739f4@zfhrqcj.jp
MIME-Version:
1.0
Content-Type:
multipart/alternative; boundary="b1_417fa921354f7cfd280ba65c894fc74f"」

メールヘッダーの分析

1. Received 行の分析

メールヘッダーの「Received」行を以下に示します：

1. Received: from ifmta1006.nifty.com by ibmta1006.nifty.com with ESMTP id 20240619235603656.QODA.92581.ifmta1006.nifty.com@nifty.com for xxxxxxxx@xxxxx.nifty.ne.jp; Thu, 20 Jun 2024 08:56:03 +0900

   • 送信元: ifmta1006.nifty.com

   • 宛先: ibmta1006.nifty.com

   • 日付: Thu, 20 Jun 2024 08:56:03 +0900

2. Received: from olson-respond.citazone.com([59.60.120.48]) by ifmta1006.nifty.com with ESMTP id 20240619235602137.XDAZ.85848.olson-respond.citazone.com@nifty.com for xxxxxxxx@xxxxx.nifty.ne.jp; Thu, 20 Jun 2024 08:56:02 +0900

   • 送信元: olson-respond.citazone.com ([59.60.120.48])

   • 宛先: ifmta1006.nifty.com

   • 日付: Thu, 20 Jun 2024 08:56:02 +0900

IPアドレスの追跡

• 59.60.120.48 は、中国のIPアドレスであり、通常、セキュリティ上のリスクが伴うことがあります。このIPアドレスは、SPAMやフィッシングメールに利用されることが多い地域に関連しています。

SPFとDKIMの結果

• SPF: `spf=none smtp.mailfrom=Malcolm-xxxxxxxx@olson-respond.citazone.com;`

  • SPF (Sender Policy Framework)の結果が「none」であるため、このメールはSPFレコードを持っていないか、チェックが行われていないことを意味します。信頼性が低いです。

• DKIM: `dkim=none;`

  • DKIM (DomainKeys Identified Mail)の結果が「none」であるため、このメールはDKIM署名されていないことを意味します。信頼性が低いです。

• Sender ID: `sender-id=none header.From=Malcolm-xxxxxxxx@olson-respond.citazone.com;`

  • Sender IDの結果も「none」であるため、このメールはSender IDチェックが行われていないことを意味します。

セキュリティ上の懸念

• 送信元ドメイン（olson-respond.citazone.com）は、DKIMやSPFが設定されていないため、信頼性が低く、フィッシングやスパムの可能性が高いです。

• メールの送信元IPアドレス（59.60.120.48）が中国にあり、スパムやフィッシングのリスクが高いです。

• メールの「From」アドレスと「Reply-To」アドレスが異なる点も疑わしいです。これは、受信者を騙すための一般的な手法です。

送信元ドメインの信頼性評価

• ドメイン `citazone.com` については、DKIMやSPFが設定されていないため、信頼性が低いです。

• さらに、`olson-respond.citazone.com` というサブドメインも、信頼性が低い可能性があります。

結論

このメールには、複数のセキュリティ上の懸念があり、信頼性が低いと判断されます。受信者はこのメールを無視し、可能であれば報告することをお勧めします。

◆HTML記述構造解析
セキュリティの懸念点

• リンクのURL

  • 多くのリンクが `zmiarxitqdvi.com` という不審なドメインに向けられており、信頼性が低い。

  • `https://zmiarxitqdvi.com` と `https://zmiarxitqdvizmiarxitqdvi.𝙧𝙤𝙨𝙝𝙞𝙚𝙤.%F0%9D%93%AC%F0%9D%93%B7` など、疑わしいリンクが含まれている。

• 不審なメールアドレス

  • `Malcolm-xxxxxxxx@olson-respond.citazone.com` は信頼できる企業のドメインとは考えにくい。

結論

このメールは、典型的なフィッシングメールの特徴を持っています。不審なリンクやメールアドレスが含まれているため、受信者はリンクをクリックせず、このメールを無視するか削除することを強くお勧めします。

◆対処
総務省に転送して、お終いにする。