20240427-A(VIEWCARD・ご利用明細更新のお知らせ：フィッシングメール)

提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの追跡をしてください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。因みに、niftyのメールサーバーのホスト名とIPアドレスは、これです。
・IPアドレス：106.73.193.32
・ホスト名：M106073193032.v4.enabler.ne.jp
「Return-Path:
viewsnet.jp1@hohbrhr.cn
Received:
from ifmta0010.nifty.com
by ibmta0010.nifty.com
with ESMTP
id 20240426060943018.OVCX.120220.ifmta0010.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Fri, 26 Apr 2024 15:09:43 +0900
Received:
from hohbrhr.cn([185.189.14.109])
by ifmta0010.nifty.com
with ESMTP
id 20240426060942623.RQNC.114699.hohbrhr.cn@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Fri, 26 Apr 2024 15:09:42 +0900
Authentication-Results:
nifty.com; spf=pass smtp.mailfrom=viewsnet.jp1@hohbrhr.cn; sender-id=pass header.From=viewsnet.jp1@hohbrhr.cn;
dkim=pass header.i=viewsnet.jp1@hohbrhr.cn;
dkim-adsp=pass header.from=viewsnet.jp1@hohbrhr.cn
DKIM-Signature:
v=1; a=rsa-sha256; c=relaxed/relaxed; s=key1; d=hohbrhr.cn; h=Content-Type:MIME-Version:Content-Transfer-Encoding:From:Subject:Date:To;
i=viewsnet.jp1@hohbrhr.cn; bh=VAbMDdQofTCTPwkHR+43QYndQUz6p7gM5VLNkjtUGcU=;
b=NS+WmvgoY7DrEoDchNLrw9WxcJjuHwmgmYaFripEWTf62GdYUu/if8WZHUwRju6q9APl8ZCzBy94 t4BUB49HMMaztOTdh7AlvQ5hBT86NH4xM6L6JigaAZB9VhmTvyCpNHPvUKgnZrlrWpy025O0A1I7 wfYRRtnB+xOfW0gaDaKZ3wno9Y3sFdfsAQ89FQ//pkXi/ly/+gMCO8NYBNEIUTfYLOsM6jlpkqDh KAQ4lzyVveHjW8SpadRFoaWRNuL1R3q5E3G5odoEpjvJiFMPhVL352E2G2HRNSXhPFkOp4ZzyIgQ d+4rBz0wihtY9gW1L8D2V8mPPT4PMpDvNevy6w==
Content-Type:
text/html; charset="utf-8"
MIME-Version:
1.0
Content-Transfer-Encoding:
base64
From:
VIEWCARD viewsnet.jp1@hohbrhr.cn
Subject:
ご利用明細更新のお知らせ
Date:
Fri, 26 Apr 2024 09:00:36 +0300
To:
xxxxxxxx@xxxxx.nifty.ne.jp
Message-Id:
20240426060942623.RQNC.114699.hohbrhr.cn@nifty.com」

このメールヘッダーの詳細な分析を行います。まず、Received行から始め、次にSPF、DKIMの結果を解析し、最後に送信元ドメインの信頼性を評価します。

Received行の解析

1. この行は、メールがドメインhohbrhr.cnのIPアドレス185.189.14.109から、Niftyのメールサーバーifmta0010.nifty.comに送信されたことを示しています。

2. こちらの行は、Nifty内部でメールがifmta0010.nifty.comからibmta0010.nifty.comへ転送されたことを示しています。

SPFとDKIMの結果

• SPF (Sender Policy Framework):

  • 結果: `pass`

  • `spf=pass`は、送信者ドメインがメール送信に使用されたIPアドレスを認証したことを意味します。これは良い兆候ですが、偽装されたドメインにも同様の設定が可能です。

• DKIM (DomainKeys Identified Mail):

  • 結果: `pass`

  • `dkim=pass`は、メールの署名が検証され、メールの改ざんがないことを示します。この証明は、メールの完全性と送信者の信頼性を高めるものです。

送信元ドメインの評価

• ドメイン名: `hohbrhr.cn`

  • このドメインから送信されたメールが正規のメール送信プロセスを通過していることは、SPFとDKIMの結果からわかりますが、ドメイン名自体が信頼できるかどうかは別問題です。`hohbrhr.cn`は一般的ではなく、疑わしい可能性があります。

セキュリティ上の懸念

• 送信者アドレス (`viewsnet.jp1@hohbrhr.cn`) とドメイン (`hohbrhr.cn`) が一般的ではなく、信頼できる情報源からのものではないため、フィッシング詐欺やマルウェア配信の可能性が考えられます。

• SPFとDKIMがパスしているため、技術的には問題ないように見えますが、ドメインの評判は未知数であり、注意が必要です。

総合的な推奨

このメールは、技術的には正当な送信プロセスを経ていますが、使用されているドメインが信頼できない可能性が高いです。したがって、受信者には慎重に内容を確認し、不審なリンクや添付ファイルを開かないよう警告することをお勧めします。

IPアドレスの場所はここ。

画像にはIPアドレス「185.189.14.109」に関する情報が含まれています。このIPアドレスは、ホスト名「vm2730211.firstbyte.club」、ロシアのモスクワに位置していること、および座標「55.7483,37.6171」が表示されています。

これらの情報から、このIPアドレスはロシアに基づくサーバーに属していることがわかります。この地理的位置は、メール送信者の所在地に関する重要な手がかりを提供します。メールヘッダーの分析に基づき、これが最初のReceived行であったことを考慮すると、メールがロシアのサーバーから送信されたことを示しています。

この情報は、メールの信頼性を評価する上で、地政学的な要因を考慮する理由を提供します。ロシアはサイバーセキュリティの文脈においてしばしば監視の対象となっているため、この地理的位置は受信者にとって追加の注意を要するかもしれません。メールの内容と送信者の意図を検証するための追加のステップを踏むべきでしょう。

html記述はこれ。ブラウザ画面はこれ。分析して。
「<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <HTML><HEAD> <META content="text/html; charset=utf-8" http-equiv=Content-Type> <META name=GENERATOR content="MSHTML 11.00.10570.1001"></HEAD> <BODY> <P>平素は「VIEW's NET」をご利用頂きまして、ありがとうございます。<BR> <BR> 来月お支払い分のご利用明細情報を更新いたしましたので<BR> ビューカードホームページよりご確認ください。<BR> ※メールの受信環境によっては、URLがテキスト化され遷移しない場合がございます。<BR> その際は、URLをブラウザに直接ご入力ください<BR> ※お手もとにViewカードをご用意ください。<BR> <BR> ▽PC：VIEW's NETのIDでログインの方はこちら<BR> <A href="https://view-card.rbridge.cn?token=a8e112457e994360364fd19b971e5786b3e944376003366b30a9543c54e8fb34&e=aGlydXRhQG1iYS5uaWZ0eS5uZS5qcA==">https://viewsnet.jp/default.aspx</A></P> <BR> ▽スマートフォン：VIEW's NETのIDでログインの方はこちら<BR> <P><A href="https://view-card.rbridge.cn?token=a8e112457e994360364fd19b971e5786b3e944376003366b30a9543c54e8fb34&e=aGlydXRhQG1iYS5uaWZ0eS5uZS5qcA==">https://viewsnet.jp/sp/S0100/S0100_001.aspx?LoginType=ServiceID</A></P> <BR> ▽PC：My JR-EASTでログインの方はこちら<BR> <P><A href="https://view-card.rbridge.cn?token=a8e112457e994360364fd19b971e5786b3e944376003366b30a9543c54e8fb34&e=aGlydXRhQG1iYS5uaWZ0eS5uZS5qcA==">https://viewsnet.jp/V0100/V0100_024.aspx</A></P> <BR> ▽スマートフォン：My JR-EASTでログインの方はこちら<BR> <P><A href="https://view-card.rbridge.cn?token=a8e112457e994360364fd19b971e5786b3e944376003366b30a9543c54e8fb34&e=aGlydXRhQG1iYS5uaWZ0eS5uZS5qcA==">https://viewsnet.jp/sp/S0100/S0100_001.aspx?LoginType=MyJREID</A></P> <BR><BR> <P>▽毎月のお支払額がすぐわかる!「ビューカードアプリ」のインストールはこちら</P> <P>iPhoneをご利用の方　※App Storeにリンクします。<BR> <A href="https://itunes.apple.com/jp/app/id1564033547?mt=8">https://itunes.apple.com/jp/app/id1564033547?mt=8</A><BR> <BR> Androidをご利用の方　※Google Playにリンクします。<BR> <A href="https://play.google.com/store/apps/details?id=jp.co.viewcard.viewcardapp.android">https://play.google.com/store/apps/details?id=jp.co.viewcard.viewcardapp.android</A><BR> ※ビューカードをお持ちでVIEW's NETのご利用登録がある本人会員さまがご利用いただけます。<BR> ※ビュー法人カード、家族カード、Ⅱマークのあるカードは対象外となります。<BR> ※My JR-EAST IDではログインできません。<BR> <BR><BR> 【住所変更手続きのお願い】<BR> 　お引越し等で住所が変わられた際には、当社宛にお早めに住所変更の届出をお願いします。<BR> 　お届けいただけない場合、当社からの重要なお知らせが届かない場合もありますのでご注意ください。<BR> 　なお、届出については、「VIEW's NET」からのお手続き、または「ビューカードセンター」への<BR> 　お電話にて受付しております。<BR> <BR> 【メールアドレス変更手続きのお願い】<BR> 　携帯機種変更等でメールアドレスが変わられた際には、「VIEW's NET」のご登録メールアドレス変更手続きをお願いいたします。<BR> 　ご変更いただけない場合、当社からの重要なお知らせが届かない場合もありますのでご注意ください。<BR> 　また、長期間宛先不明でメール配信が行えない場合、当社にて本メールの配信設定を解除させていただく場合がございますので、<BR> 　あらかじめご了承ください。<BR> <BR> ※このメールはシステムより自動送信されています。<BR> 　返信いただくことはできませんので、ご了承ください。<BR> 　不明な点等ございましたら、下記へお問合せください。<BR> <BR> ────────────────<BR> 　　ビューカードセンター<BR> 　　TEL　（03）6685－7000<BR> 　　営業時間　9:00～17:30<BR> ────────────────<BR> </BODY></HTML> 」

メールイメージ

このHTML記述はフィッシングメールである可能性が高いです。いくつかの理由からこの結論に至ります：

1. リンクURLの偽装: 表面上は正規の「viewsnet.jp」へのリンクとして表示されていますが、実際には「view-card.rbridge.cn」という全く異なるドメインにリダイレクトしているリンクが含まれています。これは典型的なフィッシング技術です。ユーザーがリンクをクリックすると、見た目は正規のウェブサイトに見えるかもしれないが、実際には悪意ある第三者のサイトにアクセスさせることになります。

2. リダイレクトトークン: リンク内のクエリパラメータには「token」というものが含まれており、これは一般的にセッショントラッキングや一時的な認証のために使用されるものですが、フィッシングの文脈では、ユーザーを特定するために使われる可能性があります。

3. エンコードされたEメールアドレス: リンクにはベース64エンコードされた形でEメールアドレスが含まれており、これもフィッシングでよく見られる特徴です。攻撃者はこの情報を使用して特定のユーザーをターゲットにするか、またはユーザーがリンクをクリックしたことを追跡することができます。

4. 言語の使用: 文書の言語が正式すぎたり不自然だったりする場合、これもフィッシングメールの兆候です。ただし、このHTML記述だけでは言語の評価は難しいです。

5. セキュリティ手続きの要求: メールにはアドレス変更手続きやメールアドレス変更手続きなどのセキュリティ関連のアクションをユーザーに促す記述が含まれています。これらはユーザーを急かし、注意をそらすことを意図している可能性があります。

HTMLの記述を見る限り、このメールはユーザーの情報を盗む意図で作成された可能性があります。受信者はリンクをクリックしないようにし、関連するカード会社や金融機関に直接連絡してこのメールについて確認することが重要です。また、このようなメールを受信した際には、メールアドレスやパスワードなどの機密情報を絶対に入力しないようにしてください。

総務省に転送して、お終いにする。サンクス。

了解しました。疑わしいメールは、詐欺やフィッシング試みとして総務省などの関連機関に報告するのが最善です。彼らが適切に対応し、将来の被害を防ぐための措置を講じることができます。このような場合は、通常メールの全文を転送し、必要な情報や状況説明を添えることをお勧めします。

サポートできてうれしいです。これ以上のお手伝いが必要であれば、いつでもお知らせください。安全にお過ごしください。