見出し画像

アマゾンからの、まじめなメール。

ヒル

アマゾンプライムなりなんなりの買い物が多くなろうかと言うこの時期。
お中元とか、お盆帰省のお土産とかECを使った買い物が多くなりますよね?
そういう時節を鑑みてか、アマゾンから「アマゾン発を騙る不正メッセージ」に警戒してくださいという、メールが来てます。
アマゾンからだけでなく、電子商取引のメールに、不正なダマシメールが届く可能性が増えるだろうと思いますので、違和感を覚えるメールが届いたら、一呼吸おいてよく落ち着いて、内容を確認して、判断してくださいね。
とは言うものの、きっと早速「まじめなメール」を偽装して何らかの手を打ってくるでしょうから、くれぐれも騙されないようにしてください。

アマゾンからの警告メール
私はchatGPTを使って、内容の吟味をしています。
概ねメールヘッダーを検査させればフィッシングメールかどうかの糸口は知ることができます。
アマゾンからのまじめなメールを素材にしてチェックしてみますね。
真似してチェックしてみると面白いと思いますよ。

メールイメージ

◆メールヘッダー解析
提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの追跡をしてください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。因みに、niftyのメールサーバーのホスト名とIPアドレスは、これです。
・IPアドレス:106.73.193.32
・ホスト名:M106073193032.v4.enabler.ne.jp
「Return-Path:
202407240417238e959d70294b4adbb107a4cd14a0p0fe-CB63DJFS0YPSA@bounces.amazon.co.jp
Received:
from ifmta0018.nifty.com
by ibmta0018.nifty.com
with ESMTP
id 20240724041726012.KQHS.13725.ifmta0018.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Wed, 24 Jul 2024 13:17:26 +0900
Received:
from a24-16.smtp-out.us-west-2.amazonses.com([54.240.24.16])
by ifmta0018.nifty.com
with ESMTP
id 20240724041725418.ZAXC.8219.a24-16.smtp-out.us-west-2.amazonses.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Wed, 24 Jul 2024 13:17:25 +0900
Authentication-Results:
nifty.com; spf=pass smtp.mailfrom=202407240417238e959d70294b4adbb107a4cd14a0p0fe-CB63DJFS0YPSA@bounces.amazon.co.jp;
sender-id=pass header.From=store-news@amazon.co.jp; dkim=pass header.i=@amazon.co.jp;
dkim=pass header.i=@amazonses.com;
dkim-adsp=pass header.from=store-news@amazon.co.jp
DKIM-Signature:
v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple; s=dmkhcugko3o5nkjv67jqit576afxvzy4;
d=amazon.co.jp; t=1721794643; h=Date:From:To:Message-ID:Subject:MIME-Version:Content-Type;
bh=VceZ/l8xv3fBJmci9Bg6tkoLkJxyL8dRhJoL+LOSei8=;
b=eDugwPwNjLfQMGrhpWYnCHQAP03j0whhPDVyUCJRq7FcM4SNPWlXbfwp6+qpqoEi 3aO8AV1/OCEngC/h/fxyr3v/5g8S/zI98KJKfg5g5ScRtziHNeZ+Uq4xOS76RQx3YcH N210uKi/K0oKRgjl4khhfhUdQxXTp+dS/wHPnedU=
DKIM-Signature:
v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple; s=7v7vs6w47njt4pimodk5mmttbegzsi6n;
d=amazonses.com; t=1721794643; h=Date:From:To:Message-ID:Subject:MIME-Version:Content-Type:Feedback-ID;
bh=VceZ/l8xv3fBJmci9Bg6tkoLkJxyL8dRhJoL+LOSei8=;
b=oaP6u1SsNvOJJoJ4lvTv9GtW7/VbkuMXHjHHV9SgCfPvcs6q+0xZAWWmtWJ/E6ld 5wRSM7sOOaxsU8EyVgiIDfnRlYDrms6/AYdAy5N5eeUQAvDjcr1FHGOlianjGH/K/v0 22xFcJij3pCVKHfgkAMkCl/UiefO7Den2esSgEWI=
Date:
Wed, 24 Jul 2024 04:17:23 +0000
From:
Amazon.co.jp store-news@amazon.co.jp
To:
xxxxxxxx@xxxxx.nifty.ne.jp
Message-ID:
01010190e2f546de-5bde4573-5108-4f12-b9ba-22bd24a87e29-000000@us-west-2.amazonses.com
Subject:
Amazonを騙る不正なメッセージにご注意ください
MIME-Version:
1.0
Content-Type:
multipart/alternative; boundary="----=_Part_1765892_487656169.1721794643671"
X-AMAZON-MAIL-RELAY-TYPE:
notification
Bounces-to:
202407240417238e959d70294b4adbb107a4cd14a0p0fe-CB63DJFS0YPSA@bounces.amazon.co.jp
X-AMAZON-METADATA:
CA=CB63DJFS0YPSA-CU=A2TL8IYKR15VKZ
X-Original-MessageID:
<urn.rtn.msg.202407240417238e959d70294b4adbb107a4cd14a0p0fe@1721794643672.>
Feedback-ID:
558621622::1.us-west-2.Ci45k5OkUuH90u7dO0Ory1StkcbFm601BtN95yGGkr4=:AmazonSES
X-SES-Outgoing:
2024.07.24-54.240.24.16」

解析結果
メールヘッダーの分析を以下に示します。各「Received」行の詳細調査、IPアドレスの追跡、SPFとDKIMの結果の解釈、送信元ドメインの信頼性評価を含めます。

Received 行の調査

1つ目の「Received」行

Received:
    from ifmta0018.nifty.com
    by ibmta0018.nifty.com
    with ESMTP
    id <20240724041726012.KQHS.13725.ifmta0018.nifty.com@nifty.com>
    for <xxxxxxxx@xxxxx.nifty.ne.jp>;
    Wed, 24 Jul 2024 13:17:26 +0900

  • ifmta0018.nifty.com から ibmta0018.nifty.com へ送信

  • 日時:2024年7月24日13:17:26 (日本時間)

2つ目の「Received」行

Received:
    from a24-16.smtp-out.us-west-2.amazonses.com([54.240.24.16])
    by ifmta0018.nifty.com
    with ESMTP
    id <20240724041725418.ZAXC.8219.a24-16.smtp-out.us-west-2.amazonses.com@nifty.com>
    for <xxxxxxxx@xxxxx.nifty.ne.jp>;
    Wed, 24 Jul 2024 13:17:25 +0900

  • a24-16.smtp-out.us-west-2.amazonses.com (IP: 54.240.24.16) から ifmta0018.nifty.com へ送信

  • 日時:2024年7月24日13:17:25 (日本時間)

IPアドレスの追跡

54.240.24.16

  • このIPアドレスはAmazon Web Services (AWS)に関連付けられています。具体的には、Amazon SES (Simple Email Service) の一部として使用されることが多いです。

SPFとDKIMの結果の解釈

SPF (Sender Policy Framework)

spf=pass smtp.mailfrom=202407240417238e959d70294b4adbb107a4cd14a0p0fe-CB63DJFS0YPSA@bounces.amazon.co.jp

  • SPFが「pass」しているため、このメールは送信元として許可されたサーバーから送信されています。

DKIM (DomainKeys Identified Mail)

dkim=pass header.i=@amazon.co.jp;
dkim=pass header.i=@amazonses.com;

  • 2つのDKIM署名が含まれており、両方とも「pass」しています。これは、メールが送信中に改ざんされていないことを示しています。

送信元ドメインの信頼性評価

  • メールはamazon.co.jpおよびamazonses.comから送信されています。両方のドメインはAmazonに関連しており、信頼性が高いです。

  • DKIM署名が有効であり、SPFチェックもパスしているため、このメールの送信元ドメインは信頼性があると言えます。

結論

  • このメールはAmazon SESを使用してAmazon.co.jpから送信されたものであり、すべてのセキュリティチェック(SPF、DKIM)をパスしています。

  • 送信元ドメインおよびIPアドレスは信頼できるものであり、このメールにセキュリティ上の懸念は見当たりません。

HTML記述構造解析
平文や、htmlなどで記述されたメール主文は、
この文章を分析して ・・・・
と言うような指示文(プロンプト)にして、生成AIに投げてやれば、解析してくれます。
巧妙に隠されている「地雷リンク」を探してくれます。
メールヘッダー解析結果で、問題なしと結果が出ても、疑わしいと思ったらやってみる価値ありです。
アマゾンからのまじめなメールはこういう解析結果になりました。

このHTMLメールはAmazonからの公式通知を模したもので、レスポンシブデザインとダークモードに対応したスタイルを持っています。メールには複数のリンク、画像、およびスタイルが含まれており、ユーザーにフィッシング詐欺に関する警告と対策を提供しています。全体的な構造はしっかりしており、特定の条件下で適切に表示されるように工夫されています。

です。
まー 偉そうなことをいう訳ではないですが、用心するに越したことはないです。

フィッシングメールの転送先
迷惑メールの転送先アドレス:meiwaku@dekyo.or.jp
ここあてに、怪しいメール文を「添付ファイル」として貼り付けて転送するだけです。


この記事が気に入ったらサポートをしてみませんか?