見出し画像

20240301-A(AEON・【イオンカード】の取引に異常が見られました:情報の確認が必要です:フィッシングメール)

ヒル

提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの起源を特定してください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。IPアドレスの起源の特定は、私がやります。
「Return-Path:
security-service1@aeon.co.jp
Received:
from ifmta0011.nifty.com
by ibmta0011.nifty.com
with ESMTP
id 20240207080206231.IFCF.26497.ifmta0011.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Wed, 7 Feb 2024 17:02:06 +0900
Received:
from fluttering-request_n1.aeza.one([81.19.137.100])
by ifmta0011.nifty.com
with ESMTP
id 20240207080205530.LHYV.23983.fluttering-request_n1.aeza.one@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Wed, 7 Feb 2024 17:02:05 +0900
Received:
by fluttering-request_n1.aeza.one (Postfix, from userid 48)
id 16F01163B43;
Wed, 7 Feb 2024 10:15:16 +0300 (MSK)
Authentication-Results:
nifty.com; spf=fail smtp.mailfrom=security-service1@aeon.co.jp;
sender-id=fail header.From=security-service1@aeon.co.jp; dkim=none;
dkim-adsp=unknown header.from=security-service1@aeon.co.jp
To:
xxxxxxxx@xxxxx.nifty.ne.jp
Subject:
【イオンカード】の取引に異常が見られました:情報の確認が必要です
X-PHP-Originating-Script:
48:leaf.php
Date:
Wed, 7 Feb 2024 07:15:16 +0000
From:
イオンフィナンシャルサービス株式会社 security-service1@aeon.co.jp
Message-ID:
64dfe21b4ddfcddf5d3bc109f442101e@81.19.137.100
MIME-Version:
1.0
Content-Type:
multipart/alternative; boundary="b1_64dfe21b4ddfcddf5d3bc109f442101e"」

IPアドレスの場所はここ。

メールヘッダーの分析を行いましょう。

  1. Received行の分析:

    • 最初のReceived行では、`ifmta0011.nifty.com`から`ibmta0011.nifty.com`へメールが送信されています。これは内部的な転送であり、両方ともnifty.comのサーバーであることが示されています。

    • 二番目のReceived行では、`fluttering-request_n1.aeza.one`(IPアドレス81.19.137.100)から`ifmta0011.nifty.com`へメールが送信されています。このIPアドレスはフランスに位置することが示されており、ユーザーがアップロードしたスクリーンショットによれば、パリに位置しています。

    • 三番目のReceived行は、`fluttering-request_n1.aeza.one`サーバー内でPostfixメールサーバーが使用されていることを示しており、これがメールの起点のようです。

  2. SPFとDKIMの結果の解釈:

    • SPF(Sender Policy Framework)の結果が`fail`であることは、メールが`security-service1@aeon.co.jp`から来たと主張しているが、aeon.co.jpのSPFレコードによると、送信元IPアドレスが許可された送信元リストにないことを意味します。

    • DKIM(DomainKeys Identified Mail)の`none`は、メールがDKIMによる署名を含んでいないことを意味しており、これはメールの真正性を確認するための一般的な方法が欠けていることを示しています。

    • `dkim-adsp=unknown`は、ドメインがDKIMに関するポリシーを公開していないことを意味します。

  3. 送信元ドメインの信頼性評価:

    • ドメイン`aeon.co.jp`は、イオン株式会社の公式ドメインである可能性が高いですが、SPF結果が`fail`であることは、このメールが正規の送信元から来ていない可能性が高いことを示唆しています。

    • メールのReturn-PathとFromアドレスが一致しており、両方とも`aeon.co.jp`を使用していますが、SPFチェックの失敗は問題があることを示しています。

  4. セキュリティ上の懸念:

    • SPFチェックの失敗とDKIMの欠如は、フィッシング詐欺やスパムメールの典型的な特徴です。

    • また、`X-PHP-Originating-Script`ヘッダーが存在することは、メールがWebスクリプトを介して送信されたことを示しており、これもスパムまたはフィッシングの可能性を高めます。

総合的に、このメールはイオンカードを装ったフィッシング詐欺の可能性が非常に高いと評価されます。受信者は、メールに記載されたリンクをクリックしたり、個人情報を提供したりする前に、注意を払う必要があります。また、イオンの公式チャンネルを通じて、このメールの真正性を確認することをお勧めします。

テキスト部分はこれ。
「Fwd: AEONご利用確認のお願い

いつもイオンカードをご利用いただき、誠にありがとうございます。
お客様の取引について、ご本人様のご利用かどうかを確認させていただく必要が生じました。そのため、一部のカード利用を制限させていただいております。大変申し訳ございませんが、以下の手続きにご協力をお願いいたします。
お手続き方法:
当社の公式ウェブサイトにアクセスしてください。

こちらからご利用確認手続きにお進みください。

画面に表示される指示に従い、必要な手続きを完了してください。【注意事項】このメール受信後、48時間以内に認証手続きを完了していただけない場合、お客様のアカウントは一時的に制限される可能性がございます。何卒ご了承ください。
お手続きいただけない場合、引き続きカードのご利用制限が継続されることがありますので、予めご了承ください。
ご不便とご心配をおかけしまして申し訳ございません。お客様の安全と利便性を第一に考え、より良いサービスを提供するため努力してまいります。ご理解とご協力を賜りますようお願い申し上げます。
何かご不明点やご質問がございましたら、お気軽にお問い合わせください。
敬具
イオンクレジットサービス株式会社住所:東京都中野区中野4-3-2」

提供されたテキストは、イオンカードの利用確認に関するお知らせを装ったもののように見えますが、以前分析したメールヘッダーの情報と照らし合わせると、このメールが実際にイオンクレジットサービスからのものかどうか疑問が残ります。

以下のポイントが懸念されます:

  • メールヘッダーでSPF検証が失敗していることから、メールがイオンクレジットサービスの正規の送信元から来ているとは限りません。これはメールの送信元が偽装されている可能性があることを意味します。

  • DKIM署名がないため、メールの内容が途中で改ざんされていないことを保証することができません。

  • メールには「公式ウェブサイトにアクセスしてください」とありますが、実際のリンクが記載されていないため、メールの内容だけではリンクの正当性を評価できません。

  • メールには、48時間以内に手続きを完了しないとアカウントが制限される可能性があると書かれており、これは受信者に不必要な緊急感を煽る一般的なフィッシング詐欺の手法です。

このような状況で、以下の対策を講じることをお勧めします:

  • メールに記載されているリンクをクリックする前に、イオンクレジットサービスの公式サイトに直接アクセスし、問い合わせを行う。

  • メールの真正性について疑問がある場合は、イオンクレジットサービスの公式カスタマーサービスに電話または安全な方法で直接連絡を取り、状況を確認する。

  • メールの指示に従う前に、メールの送信元のドメイン名が実際にイオンクレジットサービスのものであるかどうかを確認し、疑わしい場合は無視する。

セキュリティ対策としては、メールが正規のイオンクレジットサービスからのものかどうかを独自に確認することが重要です。フィッシング詐欺は個人情報を盗むことを目的としているため、リンクをクリックする前や個人情報を入力する前に十分な検証を行ってください。

html記述はこれ。ブラウザ画面はこれ。分析して。
「<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <HTML><HEAD><TITLE>Fwd: AEONご利用確認のお願い</TITLE> <META content="text/html; charset=utf-8" http-equiv=Content-Type> <META name=GENERATOR content="MSHTML 11.00.10570.1001"></HEAD> <BODY><BR> <DIV class=moz-forward-container> <DIV style="OVERFLOW: hidden; BORDER-TOP: 0px; BORDER-RIGHT: 0px; VERTICAL-ALIGN: baseline; WHITE-SPACE: normal; WORD-SPACING: 0px; BORDER-BOTTOM: 0px; TEXT-TRANSFORM: none; ZOOM: 1; COLOR: rgb(34,34,34); PADDING-BOTTOM: 0px; PADDING-TOP: 0px; FONT: small/1.5 Arial, Helvetica, sans-serif; PADDING-LEFT: 0px; BORDER-LEFT: 0px; ORPHANS: 2; WIDOWS: 2; MARGIN: 0px; DISPLAY: block; LETTER-SPACING: normal; PADDING-RIGHT: 0px; BACKGROUND-COLOR: rgb(255,255,255); TEXT-INDENT: 0px; -webkit-text-stroke-width: 0px; text-decoration-thickness: initial; text-decoration-style: initial; text-decoration-color: initial"><SPAN style="FONT-SIZE: 10.5pt; BORDER-TOP: 0px; FONT-FAMILY: ; BORDER-RIGHT: 0px; VERTICAL-ALIGN: baseline; BACKGROUND: rgb(255,255,255); BORDER-BOTTOM: 0px; TEXT-TRANSFORM: none; ZOOM: 1; COLOR: rgb(0,0,0); PADDING-BOTTOM: 0px; PADDING-TOP: 0px; PADDING-LEFT: 0px; BORDER-LEFT: 0px; MARGIN: 0px; LETTER-SPACING: 0pt; PADDING-RIGHT: 0px; font-stretch: inherit"><FONT style="ZOOM: 1" face="Microsoft YaHei UI"> <P>いつもイオンカードをご利用いただき、誠にありがとうございます。</P> <P>お客様の取引について、ご本人様のご利用かどうかを確認させていただく必要が生じました。そのため、一部のカード利用を制限させていただいております。大変申し訳ございませんが、以下の手続きにご協力をお願いいたします。</P></FONT></SPAN><SPAN style="FONT-SIZE: 10.5pt; BORDER-TOP: 0px; FONT-FAMILY: ; BORDER-RIGHT: 0px; VERTICAL-ALIGN: baseline; BACKGROUND: rgb(255,255,255); BORDER-BOTTOM: 0px; TEXT-TRANSFORM: none; ZOOM: 1; COLOR: rgb(0,0,0); PADDING-BOTTOM: 0px; PADDING-TOP: 0px; PADDING-LEFT: 0px; BORDER-LEFT: 0px; MARGIN: 0px; LETTER-SPACING: 0pt; PADDING-RIGHT: 0px; font-stretch: inherit"><FONT style="ZOOM: 1" face="Microsoft YaHei UI"></FONT></SPAN><SPAN style="FONT-SIZE: 10.5pt; BORDER-TOP: 0px; FONT-FAMILY: ; BORDER-RIGHT: 0px; VERTICAL-ALIGN: baseline; BORDER-BOTTOM: 0px; TEXT-TRANSFORM: none; ZOOM: 1; COLOR: rgb(0,0,0); PADDING-BOTTOM: 0px; PADDING-TOP: 0px; PADDING-LEFT: 0px; BORDER-LEFT: 0px; MARGIN: 0px; LETTER-SPACING: 0pt; PADDING-RIGHT: 0px; font-stretch: inherit"></SPAN> <P>お手続き方法:</P> <P>当社の公式ウェブサイトにアクセスしてください。</P> <P><SPAN style="FONT-SIZE: 10.5pt; BORDER-TOP: 0px; FONT-FAMILY: ; BORDER-RIGHT: 0px; VERTICAL-ALIGN: baseline; BACKGROUND: rgb(255,255,255); BORDER-BOTTOM: 0px; TEXT-TRANSFORM: none; ZOOM: 1; COLOR: rgb(0,0,0); PADDING-BOTTOM: 0px; PADDING-TOP: 0px; PADDING-LEFT: 0px; BORDER-LEFT: 0px; MARGIN: 0px; LETTER-SPACING: 0pt; PADDING-RIGHT: 0px; font-stretch: inherit"><FONT style="ZOOM: 1" size=3 face="Microsoft&#13;&#10; YaHei UI"><A style="TEXT-DECORATION: underline; BORDER-TOP: 0px; BORDER-RIGHT: 0px; VERTICAL-ALIGN: baseline; BORDER-BOTTOM: 0px; ZOOM: 1; COLOR: rgb(0,0,238); PADDING-BOTTOM: 0px; PADDING-TOP: 0px; PADDING-LEFT: 0px; BORDER-LEFT: 0px; MARGIN: 0px; PADDING-RIGHT: 0px; BACKGROUND-COLOR: transparent; transition: all 0.1s ease-in-out 0s" href="https://www.aeon.co.jp.security-service1.com/" moz-do-not-send="true">■ こちらからご利用確認手続きにお進みください。</A></FONT></SPAN> </P> <P></P> <P>画面に表示される指示に従い、必要な手続きを完了してください。<BR><BR>【注意事項】<BR>このメール受信後、48時間以内に認証手続きを完了していただけない場合、お客様のアカウントは一時的に制限される可能性がございます。何卒ご了承ください。</P> <P>お手続きいただけない場合、引き続きカードのご利用制限が継続されることがありますので、予めご了承ください。</P> <P>ご不便とご心配をおかけしまして申し訳ございません。お客様の安全と利便性を第一に考え、より良いサービスを提供するため努力してまいります。ご理解とご協力を賜りますようお願い申し上げます。</P> <P>何かご不明点やご質問がございましたら、お気軽にお問い合わせください。</P> <P>敬具</P> <P>イオンクレジットサービス株式会社<BR>住所:東京都中野区中野4-3-2</P></DIV></DIV></BODY></HTML>」

メールイメージ

提供されたHTML記述とブラウザ画面から、以下の分析を行います。

  1. HTMLの構造とスタイル:

    • HTMLは`DOCTYPE`が`HTML 4.0 Transitional`であるため、古いタイプのHTMLで書かれています。

    • スタイルはインラインで指定されており、メールクライアントの互換性を考慮している可能性があります。

    • `Microsoft YaHei UI`フォントが使用されており、これは中国語圏向けのフォントですが、日本語のテキストにも適しています。

  2. リンクの検証:

    • メールにはイオンの公式ウェブサイトへのリンクが含まれているようですが、リンクのURLは`https://www.aeon.co.jp.security-service1.com/`となっており、これは正規のドメイン構造ではありません。正規のドメインであれば、`security-service1.com`のサブドメインとして`aeon.co.jp`が存在するはずですが、ここではその逆になっています。これはフィッシングサイトへのリンクである可能性が高いです。

  3. コンテンツの分析:

    • メールの内容は、ユーザーに対してイオンカードの利用確認手続きを行うよう求めており、その手続きを完了しないとアカウントに制限がかかる可能性があると警告しています。

    • メールのトーンは公式に見えるかもしれませんが、ユーザーを不正なサイトへ誘導する可能性のあるリンクが含まれているため、疑わしいです。

  4. セキュリティ上のリスク:

    • ユーザーが提供したリンクは、正規のイオンのドメイン名とは異なるため、フィッシング攻撃の一環である可能性が高いです。

    • ユーザーに不安を煽り、急いでリンクをクリックさせることは、フィッシング詐欺でよく見られる手口です。

総合的に、このメールは信頼できない可能性が高く、受信者はリンクをクリックしないようにし、イオンクレジットサービスに直接連絡して確認することをお勧めします。また、不審なメールが届いた場合は、詐欺を報告するために関連する消費者保護機関に連絡することも考慮するべきです。

総務省に転送して、お終いにする。サンクス。

フィッシング詐欺の可能性があるメールを総務省に報告するというあなたの判断は賢明です。これにより、他の人々が同様の詐欺に遭遇するリスクを減らすことができます。総務省に報告するためには、通常、該当するメールを総務省が指定する連絡先に転送することが必要です。その際、できるだけ多くの情報を提供し、状況を詳細に説明することが重要です。

総務省のウェブサイトや、フィッシングに関する公的な報告窓口を通じて、適切な手続きを行うことができます。通常は、メールの全文とヘッダー情報を含めて報告することが求められます。

サポートが必要な場合や、正しい報告方法についての情報が必要な場合は、総務省の公式ウェブサイトを参照するか、直接問い合わせてください。

この件についてのサポートがこれで完了しました。引き続き何かお手伝いできることがあれば、お知らせください。

この記事が気に入ったらサポートをしてみませんか?