20240610-A(【AMERICAN EXPRESS】登録情報を再確認いただき(自動配信メール):フィッシングメール)
◆メールイメージ
◆メールヘッダーの解析
1. Return-Path
Return-Path: <tsingxing@tsingxing.net>メールの返信先アドレスが`tsingxing@tsingxing.net`です。
2. Received ヘッダー
Received:
from ifmta1001.nifty.com
by ibmta1001.nifty.com
with ESMTP
id <20240529003326244.WOYO.21014.ifmta1001.nifty.com@nifty.com>
for <xxxxxxxx@xxxxx.nifty.ne.jp>;
Wed, 29 May 2024 09:33:26 +0900ここで、`ifmta1001.nifty.com` から `ibmta1001.nifty.com` への転送が行われたことがわかります。Niftyの内部メールサーバー間の通信です。
Received:
from tsingxing.net([165.154.220.106])
by ifmta1001.nifty.com
with ESMTP
id <20240529003324719.BWEQ.14281.tsingxing.net@nifty.com>
for <xxxxxx@xxxxx.nifty.ne.jp>;
Wed, 29 May 2024 09:33:24 +0900この行では、`tsingxing.net` のIPアドレス 165.154.220.106 から `ifmta1001.nifty.com` への転送が行われたことがわかります。送信元のIPアドレスが165.154.220.106です。
3. Authentication-Results ヘッダー
Authentication-Results:
nifty.com; spf=pass smtp.mailfrom=tsingxing@tsingxing.net; sender-id=pass header.Sender=tsingxing@tsingxing.net;
dkim=neutral reason="no\ key\ for\ signature" header.i=tsingxing@tsingxing.net;
dkim-adsp=none header.from=ee-dd@mp.cecile.co.jpSPF: `pass`。`tsingxing.net` ドメインのSPFチェックに合格しています。
Sender-ID: `pass`。Sender-IDチェックも合格しています。
DKIM: `neutral`。署名が中立である理由として「no key for signature」が挙げられています。DKIM署名に使用する公開鍵が見つからない可能性があります。
DKIM-ADSP: `none`。DKIM署名ポリシーが設定されていないようです。
4. DKIM-Signature ヘッダー
DKIM-Signature:
v=1; a=rsa-sha256; c=relaxed/relaxed; s=default; d=tsingxing.net;
h=Sender:Date:From:To:Subject:Message-ID:Mime-Version:Content-Type;
i=tsingxing@tsingxing.net; bh=cEpCCbWcIYtL90Y9Vqn4adofT+xNfQolUDH0h6FnDOM=;
b=buNk62LGPd4aI0zfcan35DWSjuKAbbCaJp6Jzx10R/kNrO9lYKia89btsGLhPHQKFobNE8osWHIw uXCOWTjDrwpgUJHL//OFkf1a2gV1t3YEE5aQyVlrqS+elhkpBfZhYoEgvcmnsYM8Wffy0g+cXZR5 s30IKLmbVlId8yu0c4k=署名に使用されたドメイン: `tsingxing.net`
署名に使用されたセレクター: `default`
5. Sender ヘッダー
Sender: tsingxing@tsingxing.net送信者のアドレスが`tsingxing@tsingxing.net`です。
6. From ヘッダー
From: xxxxxxxx <ee-dd@mp.cecile.co.jp>表示されている送信者名が `xxxxxxxx` で、アドレスが `ee-dd@mp.cecile.co.jp` です。
各IPアドレスの追跡
165.154.220.106: このIPアドレスは `tsingxing.net` に関連しており、実際にこのドメインからメールが送信されたことを示しています。
106.73.193.32: `M106073193032.v4.enabler.ne.jp` に関連するNiftyのメールサーバーのIPアドレスです。
セキュリティ上の懸念
SPF: `pass`。送信元IPアドレスがドメインのSPFポリシーに一致しています。
DKIM: `neutral`。DKIM署名の検証が中立であるため、DKIMの署名が適切に設定されていない可能性があります。特に、「no key for signature」の理由から、公開鍵が正しく設定されていないか、見つからない可能性があります。
送信元ドメインの信頼性: `tsingxing.net` からのメールが正当であるかどうかを判断するために、さらに調査が必要です。`tsingxing.net` の信頼性を確認するために、ドメインの登録情報や過去の使用履歴を調べることが有効です。
総合評価
送信元ドメイン (tsingxing.net) の信頼性が低い場合、このメールはフィッシング詐欺の可能性があります。
DKIM署名の問題 や、Fromアドレスと実際の送信ドメインの不一致 が見られるため、注意が必要です。
◆HTML構造解析
メタデータと基本構造
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=gb2312" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 11.00.10570.1001"></HEAD>
<BODY>`DOCTYPE`はHTML 4.0 Transitionalを使用していますが、現在はHTML5が標準であるため、やや古い形式です。
`charset=gb2312`は、中国語の簡体字エンコーディングです。これも異常で、日本語のメールにしては不自然です。
メール内容部分
<DIV style="WIDTH: 500px; MARGIN: 20px auto" align=center>
<TABLE>
<TBODY style="FONT-SIZE: 14px; LINE-HEIGHT: 25px">
<TR>
<TD style="FONT-SIZE: 16px" align=center><STRONG>現在カードのご利用が一時停止されました。</STRONG></TD>
<TD></TD></TR>
<TR>
<TD><STRONG>カードの利用が一時停止されました。</STRONG></TD>
<TD></TD></TR>
<TR>
<TD><STRONG>カードの一時利用停止:</STRONG></TD>
<TD></TD></TR>
<TR>
<TD><STRONG>カードの利用を一時停止することにより、今後カードを端末に通すご利用はできなくなります。しかしながら、以下のご利用は止まりませんのでご注意ください。</STRONG></TD>
<TD></TD></TR>
<TR>
<TD style="FONT-SIZE: 12px; PADDING-LEFT: 10px"><STRONG>· 定期的なお支払い(公共料金、サブスクリプション料金)</STRONG></TD>
<TD></TD></TR>
<TR>
<TD style="FONT-SIZE: 12px; PADDING-LEFT: 10px"><STRONG>· デジタルウォレットに登録済みのカード利用</STRONG></TD>
<TD></TD></TR>
<TR>
<TD style="FONT-SIZE: 12px; PADDING-LEFT: 10px"><STRONG>· 一時停止したカード以外のご利用分</STRONG></TD>
<TD></TD></TR>
<TR>
<TD><STRONG>また、カードの一時利用停止中でも次のご利用は可能な場合があります。</STRONG></TD>
<TD></TD></TR>
<TR>
<TD style="FONT-SIZE: 12px; PADDING-LEFT: 10px"><STRONG>· オンライン決済</STRONG></TD>
<TD></TD></TR>
<TR>
<TD style="FONT-SIZE: 12px; PADDING-LEFT: 10px"><STRONG>· デジタルウォレットにカード情報を登録する</STRONG></TD>
<TD></TD></TR>
<TR>
<TD><STRONG>カードの一時利用停止を解除すると、以前と同様にカードを利用できます。カードの一時利用停止を解除する場合は、こちら。</STRONG></TD>
<TD></TD></TR>
<TR>
<TD><STRONG><A style="PADDING-BOTTOM: 20px; TEXT-ALIGN: center; PADDING-TOP: 20px; PADDING-LEFT: 0px; DISPLAY: block; PADDING-RIGHT: 0px" href="https://5360.3crate.com/" target=_blank>カードの一時利用停止を解除する</A> </STRONG></TD>
<TD></TD></TR>
<TR>
<TD><STRONG>カードを紛失?盗難された場合、心当たりのない利用履歴がある場合は、すぐにご連絡ください。カードを再発行いたします。</STRONG></TD>
<TD></TD></TR>
<TR>
<TD align=right><STRONG>
<P>このメールは:<A style="PADDING-BOTTOM: 0px; PADDING-TOP: 0px; PADDING-LEFT: 10px; PADDING-RIGHT: 10px" href="#">役に立つ</A> | <A style="PADDING-BOTTOM: 0px; PADDING-TOP: 0px; PADDING-LEFT: 10px; PADDING-RIGHT: 10px" href="#">役に立たない</A></P>
<P>
<HR>
<P></P></STRONG></TD>
<TD></TD></TR>
<TR style="HEIGHT: 700px">
<TD style="HEIGHT: 700px">
<P style="HEIGHT: 700px"></P></TD>
<TD></TD></TR>
<TR>
<TD><STRONG>long long As expected, the Internet Archive this week submitted its appeal in Hachette v. Internet Archive, the closely watched copyright case involving the scanning and digital lending of library books.</STRONG></TD>
<TD></TD></TR>
<TR>
<TD><STRONG>Albright of the Federal court in Austin, Tex., has said that he will grant the plaintiff’s motion for a preliminary injunction to block Texas's controversial book ban law, which was due to take effect on September</STRONG></TD>
<TD></TD></TR>
<TR>
<TD><STRONG>More than four months after a federal judge found the Internet Archive liable for copyright infringement for its program to scan and lend library books, the parties have delivered a negotiated agreement for a judgment to be entered in the case.</STRONG></TD>
<TD></TD></TR></TBODY></TABLE></DIV></BODY></HTML>HTMLは非常にシンプルで、テキストとリンクがほとんどです。
カードの一時停止についての説明があり、ユーザーを安心させようとしています。
フィッシングの可能性
不自然な内容:
メールの一部に無関係なテキスト(例: Hachette v. Internet Archiveのケースについて)が含まれており、フィッシングメールであることを強調しています。
セキュリティ上の懸念
言語とエンコーディング: 日本語のメールに対して中国語のエンコーディングを使用していることは不自然です。
リンク: 不明な外部サイトへのリンクが含まれており、フィッシングの可能性があります。
不適切なコンテンツ: メールの一部に無関係な法律関連のテキストが含まれており、信頼性を損なっています。
総合評価
このメールはフィッシング詐欺の可能性が高いです。提供されたリンクをクリックせず、メールを無視するか削除することをお勧めします。さらに、メールをフィッシングとして報告することも推奨されます。
◆対処
総務省に転送して、お終いにする。
この記事が気に入ったらサポートをしてみませんか?