20240722-A(【りそな銀行】お客様の口座がブロックされました：フィッシングメール)

◆メールイメージ

ブラウザ表示

◆メールヘッダー解析
提供されたメールヘッダーの詳細な分析を行います。

1. 「Received」行の調査

1行目:

Received:
	from ifmta0004.nifty.com
	by ibmta0004.nifty.com
	with ESMTP
	id <20240717023252808.QFFF.86157.ifmta0004.nifty.com@nifty.com>
	for <xxxxxxxx@xxxxx.nifty.ne.jp>;
	Wed, 17 Jul 2024 11:32:52 +0900

• 発信元サーバー: ifmta0004.nifty.com

• 受信サーバー: ibmta0004.nifty.com

• 時刻: 2024年7月17日11:32:52 (日本標準時)

2行目:

Received:
	from mail3.hhk22k.com([121.127.253.178])
	by ifmta0004.nifty.com
	with ESMTP
	id <20240717023252523.FOAE.79375.mail3.hhk22k.com@nifty.com>
	for <xxxxxxxx@xxxxx.nifty.ne.jp>;
	Wed, 17 Jul 2024 11:32:52 +0900

• 発信元サーバー: mail3.hhk22k.com ([121.127.253.178])

• 受信サーバー: ifmta0004.nifty.com

• 時刻: 2024年7月17日11:32:52 (日本標準時)

2. 各IPアドレスの追跡

IPアドレス `121.127.253.178`:

• IPアドレスのジオロケーション: このIPは中国の杭州（Hangzhou）に位置していることが示されています。この情報はフィッシングメールの可能性を示唆しています。

3. SPFとDKIMの結果の解釈

SPF (Sender Policy Framework):

spf=pass smtp.mailfrom=no-reply@hhk22k.com

• メールは送信ドメイン `hhk22k.com` から認可されたサーバーを通じて送信されたことを示しています。

DKIM (DomainKeys Identified Mail):

dkim=pass header.i=no-reply@hhk22k.com;

• メールの署名は正しいと確認され、内容が改ざんされていないことを示しています。

4. セキュリティ上の懸念の確認

SPFとDKIMの認証結果はどちらも `pass` です。しかし、送信元ドメイン `hhk22k.com` と送信者名（りそな銀行）との関連性には疑問があります。以下の点が考慮されるべきです：

• ドメイン `hhk22k.com` は公式なりそな銀行のドメインではありません。

• IPアドレス `121.127.253.178` が中国の杭州に位置していることも、公式の銀行からの通信としては不自然です。

5. 送信元ドメインの信頼性評価

ドメイン `hhk22k.com` は公式のりそな銀行のドメインとは異なるため、このメールは非常に疑わしいです。りそな銀行は一般的に自社の公式ドメイン（例: resona.co.jp）を使用して通信を行います。

総合的な評価

このメールは技術的な認証（SPFとDKIM）をパスしているものの、送信元ドメインとIPアドレスの情報に基づくと、フィッシングメールの可能性が高いです。特に、公式の銀行名を使用しながら、異なるドメインから送信されていることが重大な懸念事項です。このメールの内容やリンクには注意を払う必要があります。

◆HTML記述構造解析
提供されたHTMLの記述構造を解析し、フィッシングメールの可能性を検討します。

HTML記述構造解析

DOCTYPE宣言とHTMLタグ:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=utf-8" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 11.00.10570.1001"></HEAD>
<BODY>

• DOCTYPEがHTML 4.0 Transitionalを宣言しています。最新のHTML5が主流の中で、古いDOCTYPEを使用している点は少し疑わしいです。

本文内容:

<P>いつもりそな銀行をご利用いただき、ありがとうございます。</P>
<P>ログインに一定回数以上失敗されたため、お客さまのアカウントをロックさせていただきました。</P>
<P>下記へアクセスし、本人認証を行い、ロック解除を進んでください。</P>
<P><A href="https://xorqmih.com">https://xorqmih.com</A></P>
<P>※このメールは送信専用のメールアドレスを使用しています。返信は受け付けておりませんのでご了承ください。<BR>※このメールにお心あたりがない場合やご不明な点等がございましたら、当社までお問い合わせください。<BR>－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－<BR>◆詳細はこちらをご覧ください<BR><A href="http://www.resonabank.co.jp/pdf/201802mynumber.pdf">http://www.resonabank.co.jp/pdf/201802mynumber.pdf</A></P>
<P>◆マイゲートサポートセンター<BR>&nbsp;0120-017820<BR>&nbsp;平日9時〜21時、土・日・祝日9時〜17時<BR>&nbsp;（1/1日〜3日、および5月3日〜5日を除く）</P>
<P>差出人：りそな銀行<BR>◆このメールアドレスは送信専用です<BR>◆お問合せはこちら<BR>&nbsp; <A href="https://www.resonabank.co.jp/direct/toiawase/mygate.html">https://www.resonabank.co.jp/direct/toiawase/mygate.html</A><BR></P>
</BODY></HTML>

• メール本文に「アカウントロックの解除」を促す内容が含まれています。

• 本文中に2つのリンクが含まれています。

疑わしいリンク:

<P><A href="https://xorqmih.com">https://xorqmih.com</A></P>

• このリンクはりそな銀行の公式サイトではなく、非常に疑わしいです。

公式リンクと見せかけたリンク:

<A href="http://www.resonabank.co.jp/pdf/201802mynumber.pdf">http://www.resonabank.co.jp/pdf/201802mynumber.pdf</A>
<A href="https://www.resonabank.co.jp/direct/toiawase/mygate.html">https://www.resonabank.co.jp/direct/toiawase/mygate.html</A>

• これらは公式のりそな銀行のリンクであり、本文の信憑性を高めるために利用されている可能性があります。

総合評価

• フィッシングの可能性が高い要素:

  • メール本文内に公式のりそな銀行ではないドメイン (`https://xorqmih.com`) へのリンクが含まれている。

  • メール本文の内容が、受信者に緊急の対応を促し、個人情報を入力させようとしています。

• 信憑性を高めるための要素:

  • 公式のりそな銀行のリンクが含まれています。

結論

このメールはフィッシングメールである可能性が非常に高いです。特に、公式のりそな銀行のドメインではないリンクが含まれている点が重大な懸念事項です。このリンクをクリックしないようにし、メールを削除するか、りそな銀行の公式サポートに問い合わせて確認することを強くお勧めします。

◆対処
総務省に転送して、お終いにする。