![見出し画像](https://assets.st-note.com/production/uploads/images/144535370/rectangle_large_type_2_e9d7affbe83d221c8b31ae1e7db7fa36.png?width=800)
20240619-A(TS CUBIC CARD・TS3 TS CUBICCARDカード【重要:必ずお読みください】:フィッシングメール)
◆メールイメージ
![](https://assets.st-note.com/img/1717826311005-iQBl1gqku6.png?width=800)
◆メールヘッダー解析
メールヘッダーの詳細な分析を行い、各「Received」行の調査、IPアドレスの追跡、SPFとDKIMの結果の解釈、送信元ドメインの信頼性評価を実施します。
メールヘッダーの詳細分析
1. Return-Path
Return-Path:
<ts3card.com1@uhbzbyp.cn>
Return-Path は送信元メールアドレスを示しています。この場合、`ts3card.com1@uhbzbyp.cn`から送信されたメールであることを示しています。
2. Received ヘッダーの分析
Received:
from ifmta0006.nifty.com
by ibmta0006.nifty.com
with ESMTP
id <20240601030625461.YTYT.104151.ifmta0006.nifty.com@nifty.com>
for <xxxxxxxx@nifty.ne.jp>;
Sat, 1 Jun 2024 12:06:25 +0900
この行は、メールが`ifmta0006.nifty.com`サーバーから`ibmta0006.nifty.com`サーバーに転送されたことを示しています。
Received:
from uhbzbyp.cn([23.94.62.151])
by ifmta0006.nifty.com
with ESMTP
id <20240601030625256.UAJ.97505.uhbzbyp.cn@nifty.com>
for <xxxxxxxx@nifty.ne.jp>;
Sat, 1 Jun 2024 12:06:25 +0900
この行は、メールが`uhbzbyp.cn`サーバー(IPアドレス23.94.62.151)から`ifmta0006.nifty.com`サーバーに転送されたことを示しています。
IPアドレスの追跡
23.94.62.151: このIPアドレスは、米国に位置するVultr Holdings, LLCというホスティングサービス提供会社に割り当てられています。通常、フィッシングメールやスパムはホスティングサービスを利用して送信されることが多いです。
SPFとDKIMの結果の解釈
Authentication-Results:
nifty.com; spf=pass smtp.mailfrom=ts3card.com1@uhbzbyp.cn; sender-id=pass header.From=ts3card.com1@uhbzbyp.cn;
dkim=pass header.i=ts3card.com1@uhbzbyp.cn;
dkim-adsp=pass header.from=ts3card.com1@uhbzbyp.cn
SPF(Sender Policy Framework): `spf=pass`は、このメールが送信元ドメイン(uhbzbyp.cn)からの正当なメールであることを示しています。
DKIM(DomainKeys Identified Mail): `dkim=pass`は、このメールが改ざんされていないことを示しています。
DKIM-Signature の解析
DKIM-Signature:
v=1; a=rsa-sha256; c=relaxed/relaxed; s=key1; d=uhbzbyp.cn; h=Content-Type:MIME-Version:Content-Transfer-Encoding:From:Subject:Date:To;
i=ts3card.com1@uhbzbyp.cn; bh=+7PuJLNn26NN/UgEJKfEjf9FEgBqhby9Zsfg9uMZxlQ=;
b=s2Zl6khv0FaniyLAc4z9NUhjE/zjwaNXys6ROqi9gqRSO/Q9QfYeLcFfzEBBvjQ1Yh8yVYaOb84R wEJz0n6pVLd03L2c8cKgU2r6Gr/zCDfYiGczNYEutWo8cYQDVEr4AbVSCy1kHaGYaXOCZb37jA2F gMLvrhfyjKQDTYu2QlIl8KcjYzBUEWm9rqmD3VOO2xZQzStaxPX53DJZawWNo1fJNNqVRCRFErQa xSCZDYc+6faVCRG0EWrvUqiR+Kn7XTB3XRddoyDsH+Q6SV9y2MFGPomYIcJKBJOumnQCjOrsdx3a IaqldJ40C1Vuf67tQjA5Ct/4wb/BEPZ12Y3MCQ==
DKIM署名は、送信者が正当なものであることを確認するためのものです。署名が有効であるため、送信者が指定されたドメイン(uhbzbyp.cn)であることが確認されました。
送信元ドメインの信頼性評価
uhbzbyp.cnというドメインは、信頼できる企業や組織と関連付けられていないため、怪しいと見なされます。
また、通常のビジネスメールアドレスとは異なり、一般的にはフィッシングやスパムメールに使用される可能性が高いです。
セキュリティ上の懸念
このメールの送信元ドメイン(uhbzbyp.cn)は、信頼できる企業とは見なされず、ホスティングサービスを使用しているため、フィッシングの可能性が高いです。
送信者情報やメール内容に疑わしい点がある場合は、リンクをクリックしたり、添付ファイルを開かないように注意する必要があります。
総合的に見て、このメールはフィッシングメールである可能性が高いです。送信元ドメインやIPアドレスの信頼性が低く、通常のビジネスメールとしては疑わしい点が多いため、慎重に取り扱うことをお勧めします。
◆HTML記述構造解析
提供されたHTMLの記述構造を解析し、セキュリティ上の懸念を確認します。
1. DOCTYPEとHTMLタグ
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
HTML 4.0 Transitionalは、古いバージョンのHTMLであり、現代のウェブ標準に従っていない可能性があります。これはフィッシングメールによく見られる特徴です。
2. メタタグ
<HEAD>
<META content="text/html; charset=utf-8" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 11.00.10570.1001">
</HEAD>
`MSHTML 11.00.10570.1001`は、MicrosoftのHTMLレンダリングエンジンのバージョンを示しており、メールがWindowsの環境から作成された可能性があります。
3. BODYタグと内容
<BODY>
メールの本文は以下のように始まっています。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━<BR><BR>★。.:*:TS CUBIC
CARD会員個人情報変更。★。.:*:<BR><BR>━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━<BR><BR><BR>TS
CUBIC CARD会員樣<BR><BR>このたびは、TS CUBIC
CARDEメールサービスをご利用いただきありがとうございます。<BR><BR>当社はセキュリティシステムの大幅なアップグレードを実施しているため、個人情報の<BR>再認証が完了するまで、TS
CUBIC CARDメンバーのサービスはすべて停止されます。<BR><BR>本日から、TS CUBIC
CARDメンバーのユーザーが通常使用したい場合は、24時間以内に<BR>以下の個人情報改善認証を行う必要があります承認後にのみ使用できます
<BR><BR>ログイン認証:<A
href="https://assww8.cn?token=70edba2ee9d9636db20c755474c24628a8428234a6d067abc700ddbb710a564d&e=bmJiMDE1MTRAbmlmdHkubmUuanA=">https://tscubic.com/webapp/ToTP01020101Action.do.php?command=doInsit&vo.NO=000734339703&vo.KEY=0027683028&vo.CHKBN=00</A><BR><BR>このサービスは、TS
CUBIC
CARDメノバー専用の通知サービスです。このメールの内容<BR>にご注意いただき、不必要な紛失を避けてください。<BR><BR>
特定の強調と装飾が多く、プロフェッショナルなビジネスメールとしては不自然に見えます。
4. フィッシングの特徴
緊急性の強調: 「24時間以内に個人情報改善認証を行う必要があります」という文言は、受信者に急いで行動を起こさせるための典型的な手法です。
リンクの巧妙な隠蔽: 表示されているリンク先(tscubic.com)とは異なるリンク(assww8.cn)にリダイレクトされるように見えます。
企業情報の模倣: トヨタファイナンス株式会社の名前や住所が記載されていますが、これも正規の企業メールに見せかけるための手法です。
5. 注意点
リンク先の確認: `href`属性に含まれるリンクはフィッシングサイトに誘導するものである可能性が非常に高いです。
連絡先情報の確認: 記載された電話番号が実際のTS CUBIC CARDのものと一致するか確認する必要があります。
結論
このメールはフィッシングの可能性が非常に高いです。以下の点からセキュリティ上の懸念が確認されました。
緊急性の強調によって受信者に急いで行動を起こさせる試み。
表示されるリンクと実際のリンク先が異なること。
企業情報を模倣して受信者をだまそうとする手法。
古いHTMLバージョンの使用。
このメールに含まれるリンクをクリックしたり、個人情報を入力したりしないようにしてください。また、このメールを公式のTS CUBIC CARDカスタマーサポートに報告することをお勧めします。
◆対処
総務省に転送して、お終いにする。
この記事が気に入ったらサポートをしてみませんか?