見出し画像

20240516-A(【りそな銀行】【要返信】お客様の口座が凍結されました:フィッシングメール)

ヒル

◆提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの追跡をしてください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。因みに、niftyのメールサーバーのホスト名とIPアドレスは、これです。
・IPアドレス:106.73.193.32
・ホスト名:M106073193032.v4.enabler.ne.jp
「Return-Path:
no-raply@sfi178.com
Received:
from ifmta0014.nifty.com
by ibmta0014.nifty.com
with ESMTP
id 20240508224237759.CXLA.9573.ifmta0014.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Thu, 9 May 2024 07:42:37 +0900
Received:
from sfi178.com([45.157.68.137])
by ifmta0014.nifty.com
with ESMTP
id 20240508224237206.DVMP.4029.sfi178.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Thu, 9 May 2024 07:42:37 +0900
Received:
from cluster365.com (unknown [167.88.183.84]) (Authenticated sender: no-raply)
by sfi178.com (Postfix)
with ESMTPA
id DD14120DBFD1
for xxxxxxxx@xxxxx.nifty.ne.jp;
Wed, 8 May 2024 17:42:19 -0500 (CDT)
Authentication-Results:
nifty.com; spf=pass smtp.mailfrom=no-raply@sfi178.com; sender-id=pass header.Sender=no-raply@sfi178.com;
dkim=none;
dkim-adsp=unknown header.from=info@creema.jp
Message-ID:
1015c01ad33b725876f0ea6a00138a19@creema.jp
Sender:
no-raply@sfi178.com
From:
りそな銀行 info@creema.jp
To:
xxxxxxxx@xxxxx.nifty.ne.jp
Subject:
【りそな銀行】【要返信】お客様の口座が凍結されました
Date:
Thu, 09 May 2024 06:42:33 +0800
X-Priority:
3
X-Mailer:
Zpzcpwnp Nxxfdnx 03.33
MIME-Version:
1.0
Content-Type:
text/html; charset="utf-8"
Content-Transfer-Encoding:
quoted-printable」

メールヘッダーの詳細な分析

「Received」行の解析

First Received Header:
Received:
from ifmta0014.nifty.com
by ibmta0014.nifty.com
with ESMTP
id 20240508224237759.CXLA.9573.ifmta0014.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Thu, 9 May 2024 07:42:37 +0900

  • 送信元サーバー: ifmta0014.nifty.com

  • 受信サーバー: ibmta0014.nifty.com

  • 日時: Thu, 9 May 2024 07:42:37 +0900 (日本標準時)

nifty.comの内部サーバー間でメールが受信されたことを示しています。

Second Received Header:
Received:
from sfi178.com([45.157.68.137])
by ifmta0014.nifty.com
with ESMTP
id 20240508224237206.DVMP.4029.sfi178.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Thu, 9 May 2024 07:42:37 +0900

  • 送信元サーバー: sfi178.com (IP: 45.157.68.137)

  • 受信サーバー: ifmta0014.nifty.com

  • 日時: Thu, 9 May 2024 07:42:37 +0900 (日本標準時)

sfi178.comのサーバーからnifty.comのサーバーにメールが送信されています。

Third Received Header:
Received:
from cluster365.com (unknown [167.88.183.84]) (Authenticated sender: no-raply)
by sfi178.com (Postfix)
with ESMTPA
id DD14120DBFD1
for xxxxxxxx@xxxxx.nifty.ne.jp;
Wed, 8 May 2024 17:42:19 -0500 (CDT)

  • 送信元サーバー: cluster365.com (IP: 167.88.183.84)

  • 受信サーバー: sfi178.com

  • 日時: Wed, 8 May 2024 17:42:19 -0500 (米国中部標準時)

IPアドレスの追跡

  1. 45.157.68.137:

    • ホスト: sfi178.com

    • 位置情報: ドイツのIPアドレス

    • 可能性: 不審なIPアドレスである可能性が高い

  2. 167.88.183.84:

    • ホスト: cluster365.com

    • 位置情報: 米国のIPアドレス

    • 可能性: 不審なIPアドレスである可能性が高い

SPFとDKIMの結果の解釈

  • SPF: `spf=pass`

    • sfi178.comのSPFレコードに基づき、送信元IPアドレスが認証されたことを示しています。

  • DKIM: `dkim=none`

    • DKIM署名がないため、送信元の認証が行われていません。

セキュリティ上の懸念

  • メールの送信元ドメイン(sfi178.comとcluster365.com)のIPアドレスは不審なものであり、フィッシングの可能性があります。

  • DKIM署名がないことも信頼性の低さを示しています。

  • 送信元アドレス(info@creema.jp)とReturn-Path(no-raply@sfi178.com)が一致していないため、詐称の可能性が高いです。

送信元ドメインの信頼性評価

  • sfi178.comおよびcluster365.comのドメインは不審であり、信頼性が低いです。

  • メールの内容がりそな銀行を装ったフィッシングの可能性があるため、受信者はこのメールを無視し、削除するべきです。

このメールは、フィッシング詐欺の疑いが強いため、開かないよう注意が必要です。りそな銀行や他の公式サイトからの正当なメールと確認するまで、リンクや添付ファイルをクリックしないでください。

◆html記述はこれ。ブラウザ画面はこれ。分析して。
「<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <HTML><HEAD> <META content="text/html; charset=utf-8" http-equiv=Content-Type> <META name=GENERATOR content="MSHTML 11.00.9600.19355"></HEAD> <BODY> <P>いつもりそな銀行をご利用いただき、誠にありがとうございます。</P> <P>日本および国際社会が取り組まなければならない課題として、マネー・ローンダリングおよびテロ資金供与対策の重要性が近年、益々高まっております。こうした中、金融庁が公表した「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」に基づき、りそな銀行では、既にお取引のあるお客さまにおかれましても、お取引の内容や状況に応じて、お客さまに関する情報や、お取引の目的等を定期的にご確認させていただく場合がございます。</P> <P>当社では、犯罪収益移転防止法に基づき、お取引を行う目的等を確認させていただいております。また、この度のご案内は、当社ご利用規約第 9 条1 項 7 に基づくご依頼となります。</P> <P>この度、当社セキュリティシステムが動作したところ、お客様の口座に異常な取引が発覚しました、マネー・ローンダリングに関わる恐れがございますので、お取引について当行より至急で確認させていただきたいことがあり、ご連絡をさせていただきました。</P> <P><BR><A href="https://kesarexpedition.com">ご回答</A></P> <P><BR>ご回答いただけないお客さまにおかれましては、法的な措置まで講じさせていただく場合がございます。</P> <P>お客様のご返信内容を確認後、利用制限の解除を検討させていただきますので、できる限り詳細にご回答ください。</P> <P>何卒ご理解とご協力の程、宜しくお願い致します。</P> <P>---------------------------------------------------------<BR>詳細はこちらをご覧ください。<BR><A href="http://www.resonabank.co.jp/pdf/201802mynumber.pdf">http://www.resonabank.co.jp/pdf/201802mynumber.pdf</A></P> <P>差出人:りそな銀行<BR>◆本件に関するお問合せ<BR>コミュニケーションダイヤル<BR>フリーダイヤル 0120-24-3989&nbsp; 自動音声後、「3#」の入力をお願いいたします。<BR>※オペレーター受付時間 平日9時~17時</P></BODY></HTML> 」

メールイメージ

HTMLコードの分析とブラウザ画面の検証

HTMLコードの解析

以下のHTMLコードはフィッシングメールの一部である可能性が高いです。

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=utf-8" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 11.00.9600.19355"></HEAD>
<BODY>
<P>いつもりそな銀行をご利用いただき、誠にありがとうございます。</P>
<P>日本および国際社会が取り組まなければならない課題として、マネー・ローンダリングおよびテロ資金供与対策の重要性が近年、益々高まっております。こうした中、金融庁が公表した「マネー・ローンダリング及びテロ資金供与対策に関するガイドライン」に基づき、りそな銀行では、既にお取引のあるお客さまにおかれましても、お取引の内容や状況に応じて、お客さまに関する情報や、お取引の目的等を定期的にご確認させていただく場合がございます。</P>
<P>当社では、犯罪収益移転防止法に基づき、お取引を行う目的等を確認させていただいております。また、この度のご案内は、当社ご利用規約第 917 
に基づくご依頼となります。</P>
<P>この度、当社セキュリティシステムが動作したところ、お客様の口座に異常な取引が発覚しました、マネー・ローンダリングに関わる恐れがございますので、お取引について当行より至急で確認させていただきたいことがあり、ご連絡をさせていただきました。</P>
<P><BR><A href="https://kesarexpedition.com">ご回答</A></P>
<P><BR>ご回答いただけないお客さまにおかれましては、法的な措置まで講じさせていただく場合がございます。</P>
<P>お客様のご返信内容を確認後、利用制限の解除を検討させていただきますので、できる限り詳細にご回答ください。</P>
<P>何卒ご理解とご協力の程、宜しくお願い致します。</P>
<P>---------------------------------------------------------<BR>詳細はこちらをご覧ください。<BR><A 
href="http://www.resonabank.co.jp/pdf/201802mynumber.pdf">http://www.resonabank.co.jp/pdf/201802mynumber.pdf</A></P>
<P>差出人:りそな銀行<BR>◆本件に関するお問合せ<BR>コミュニケーションダイヤル<BR>フリーダイヤル 0120-24-3989&nbsp; 
自動音声後、「3#」の入力をお願いいたします。<BR>※オペレーター受付時間 平日9時~17時</P></BODY></HTML>

ブラウザ画面の検証

  1. URLの確認:

    • 不審なリンク: `<A href="https://kesarexpedition.com">ご回答</A>`

      • りそな銀行の公式ドメインではなく、不審なドメインです。このリンクはフィッシングサイトに誘導するためのものと考えられます。

    • 信頼できるリンク: `<A href="http://www.resonabank.co.jp/pdf/201802mynumber.pdf">http://www.resonabank.co.jp/pdf/201802mynumber.pdf</A>`

      • 公式のりそな銀行のドメインですが、このリンクだけではメール全体の信頼性を保証するものではありません。

  2. メッセージ内容:

    • 内容は非常に丁寧で、金融機関からの正式な通知のように見えますが、不審なリンクが含まれているため、警戒が必要です。

    • マネー・ローンダリングやテロ資金供与対策に言及しており、受信者に急を要する対応を促しています。この手法はフィッシング詐欺でよく使われる手法です。

  3. 差出人の確認:

    • 差出人名として「りそな銀行」を名乗っていますが、メールヘッダーの情報からは本当にりそな銀行から送信されたかどうかは確認できません。

セキュリティ上の懸念

  • 不審なリンク: kesarexpedition.comというドメインは、りそな銀行とは無関係であり、フィッシングの可能性が非常に高いです。

  • メール内容の矛盾: 差出人としてりそな銀行を名乗っているものの、リンクや一部の内容が不審です。

  • 公式リンクの併用: 公式リンクと不審なリンクを混ぜる手法は、受信者を騙すための典型的なフィッシング手法です。

結論

このメールは非常に巧妙に作成されていますが、フィッシング詐欺の可能性が高いです。不審なリンクには絶対にアクセスせず、公式サイトや信頼できる連絡先を通じて確認することを強くお勧めします。

◆総務省に転送して、お終いにする。サンクス。

了解しました。このようなフィッシングメールは非常に危険ですので、適切な機関に報告することは重要です。総務省に転送するための手順を以下に示します。

フィッシングメールの報告手順

  1. メールを転送する:

    • フィッシングメールをそのまま転送してください。重要なのは、メールのヘッダー情報を含めて転送することです。

  2. 宛先:

    • 総務省の「フィッシング詐欺対策窓口」に報告します。以下のメールアドレスを使用してください。

    • Email: ff-help@ml.soumu.go.jp

  3. 件名:

    • 「フィッシングメールの報告」

注意事項

  • メールヘッダー情報を必ず含めるようにしてください。

  • 不審なリンクや添付ファイルにはアクセスしないようにしてください。

以上でフィッシングメールの報告が完了します。何か他にご質問やご要望がございましたら、お知らせください。

この記事が気に入ったらサポートをしてみませんか?