20240608-A(日本放送協会(NHKプラス)・【NHKプラス】アップグレードサービスお知らせ:フィッシングメール)
◆メールイメージ
◆メールヘッダー解析
「
Return-Path:
nhkplus-update@ljjxicwyjp.com
Received:
from ifmta1003.nifty.com
by ibmta1003.nifty.com
with ESMTP
id 20240528074152023.FBNJ.122001.ifmta1003.nifty.com@nifty.com
for xxxxxxxx@nifty.ne.jp;
Tue, 28 May 2024 16:41:52 +0900
Received:
from mail4.ljjxicwyjp.com([192.227.179.30])
by ifmta1003.nifty.com
with ESMTP
id 20240528074151576.QHYL.115283.mail4.ljjxicwyjp.com@nifty.com
for xxxxxxxx@nifty.ne.jp;
Tue, 28 May 2024 16:41:51 +0900
Authentication-Results:
nifty.com; spf=pass smtp.mailfrom=nhkplus-update@ljjxicwyjp.com;
sender-id=pass header.From=nhkplus-update@ljjxicwyjp.com; dkim=pass header.i=nhkplus-update@ljjxicwyjp.com;
dkim-adsp=pass header.from=nhkplus-update@ljjxicwyjp.com
DKIM-Signature:
v=1; a=rsa-sha256; c=relaxed/relaxed; s=default; d=ljjxicwyjp.com;
h=Date:From:To:Subject:Mime-Version:Message-ID:Content-Type; i=nhkplus-update@ljjxicwyjp.com;
bh=lBkMZLuecst7+dTwtyh0wAWRkylRTqSfnU/QrW/i9Lw=;
b=sOZZN/FKd13vKyUa76UXWNlDt2MVo/CmfXBtSkb2+7v3JLurTdJeOuvdd8kql7fO34YoGkGAcQ08 S2npqdZ6KYlGUXnYVwcWotZnjkRzJLAOx2OPwfWG6MNvxrua5jrDNBv5Q/8Ku6nIb0hQT5Me0cTW E3lDGLKsbURlQvU8S08=
Date:
Tue, 28 May 2024 16:41:40 +0900
From:
日本放送協会(NHKプラス) nhkplus-update@ljjxicwyjp.com
To:
xxxxxxxx xxxxxxxx@nifty.ne.jp
Subject:
【NHKプラス】アップグレードサービスお知らせ
X-Has-Attach:
no
Mime-Version:
1.0
Message-ID:
202405281641498824578@ljjxicwyjp.com
Content-Type:
multipart/alternative; boundary="=====001_Dragon481420152353_====="
」
▲提供されたメールヘッダーを詳細に分析して、各「Received」行のIPアドレスを追跡し、SPFおよびDKIMの結果を解釈し、送信元ドメインの信頼性を評価します。
メールヘッダー解析
「Received」行の調査
Received: from ifmta1003.nifty.com
受信サーバー: `ibmta1003.nifty.com`
IPアドレス: 106.73.193.32 (niftyのメールサーバー)
日時: 2024年5月28日 16:41:52 +0900
Received: from mail4.ljjxicwyjp.com([192.227.179.30])
受信サーバー: `ifmta1003.nifty.com`
IPアドレス: 192.227.179.30
日時: 2024年5月28日 16:41:51 +0900
各IPアドレスの追跡
192.227.179.30
ホスト名: mail4.ljjxicwyjp.com
GeoIP情報: このIPアドレスは、米国にあるVPS(仮想プライベートサーバー)プロバイダーに属している可能性が高い。
SPFとDKIMの結果の解釈
SPF:
結果: `spf=pass`
解釈: このメールは、送信元ドメイン(ljjxicwyjp.com)のSPFレコードと一致しているため、SPF検証に合格しています。
DKIM:
結果: `dkim=pass`
解釈: DKIM署名が有効であり、送信元のドメイン(ljjxicwyjp.com)により正しく署名されていることを示しています。
送信元ドメインの信頼性の評価
ドメイン: `ljjxicwyjp.com`
解析: ドメイン名は疑わしいです。通常、公式のNHKのメールであれば、`nhk.or.jp`や`nhk.jp`などのドメインが使用されるはずです。このような不自然なドメイン名はフィッシングメールの特徴の一つです。
総合評価
このメールヘッダーの解析結果から以下のことが言えます:
IPアドレス192.227.179.30は、米国にあるVPSプロバイダーに属しており、公式な日本放送協会(NHK)のサーバーから送信されたものではない可能性が高いです。
**送信元ドメイン`ljjxicwyjp.com`**は、公式なNHKのドメインではなく、フィッシングメールの可能性があります。
SPFおよびDKIM検証は合格しているものの、これはフィッシングメールの送信者が正規の認証方法を悪用している可能性があります。
このメールは非常に疑わしいと判断され、フィッシングメールの可能性が高いです。総務省に報告するか、信頼できるセキュリティ専門家に相談することをお勧めします。
◆HTML記述の解析
「
<span style="font-size:15px;font-family:Arial;"><span style="font-size:15px;"><span style="font-size:15px;"> <p>**********************************************************************<br>NHKのサービスをご利用いただきありがとうございます、 <br>NHKがNHKプラスにアップグレードされました<br>**********************************************************************</p> <p>NHKのサービスをより有効に活用するためには、<br>より良いサービスを提供し、サービス品質を向上させるために<br>NHK契約をアップグレードする必要があります<br>アップグレードは無料で、追加の負担はありません<br>NHKアップグレードの内容を以下に説明させていただきます </p> <p><br>(1)パソコンやスマートフォン、タブレットで、総合テレビやEテレの番組を放送と同時に視聴できます<br>(2)総合テレビやEテレの番組を放送後から1週間いつでも視聴できます。 <br>(3)見逃し番組をジャンルやテーマ別に並べ、番組を見つけやすくしました<br>(4)見逃し番組を、日付やチャンネル、キーワードで探すことができます<br>NHK +にアップグレードした後、12か月の手数料免除を提供します。 </p> <p>ご不便をおかけして申し訳ありませんが、<br>------------------------<br>NHKプラスのご利用手続きありがとうございます。<br>以下のURLをクリックし、必要な項目の入力をお願いいたします。<br><a href="https://www.shaituanba.com/YWJjZDAwMDU3P2t0eXNicjAwQHB1Yi50YWlzZWkuY28uanA">https://pid.nhk.or.jp/account/regist/id/input1.do?receiptid=dagvuqkt</a><br></p> <div style="font-size:14px;text-decoration:none;font-family:Ember,Helvetica,Arial,sans-serif;word-break:break-all !important;font-weight:400;color:black;opacity:0;"> <p style="font-size:1px;margin-bottom:0px;margin-top:0px;color:rgb(255,255,255);line-height:20px;user-select:none;">松川さんは、今度は自分が被災した人を励ましたいと、</p></div> <p>==========<br>本メールは重要なお知らせのため、配信停止はできません。<br>本メールは配信専用のアドレスからお送りしております。<br>本メールに返信いただいても、お問合せにお答えすることができません。 <div style="font-size:14px;text-decoration:none;font-family:Ember,Helvetica,Arial,sans-serif;word-break:break-all !important;font-weight:400;color:black;opacity:0;"> <p style="font-size:1px;margin-bottom:0px;margin-top:0px;color:rgb(255,255,255);line-height:20px;user-select:none;">なお、「ETCカードが無効になった」など不安を煽る件名で不審メールが配信されていますが、</p></div>------------------------<br>Copyright NHK (Japan Broadcasting Corporation) All rights reserved.<br>------------------------ <div style="font-size:14px;text-decoration:none;font-family:Ember,Helvetica,Arial,sans-serif;word-break:break-all !important;font-weight:400;color:black;opacity:0;"> <p style="font-size:1px;margin-bottom:0px;margin-top:0px;color:rgb(255,255,255);line-height:20px;user-select:none;">インナーマッスルを使う体の使い方を覚えましょう。</p></div> <p></p></span></span></span>
」
▲提供されたHTMLの記述を詳細に分析して、セキュリティ上の懸念があるかどうかを確認します。
HTMLメールの分析
構造と内容の確認
<span style="font-size:15px;font-family:Arial;">
<span style="font-size:15px;">
<span style="font-size:15px;">
<p>**********************************************************************<br>NHKのサービスをご利用いただきありがとうございます、
<br>NHKがNHKプラスにアップグレードされました<br>**********************************************************************</p>
<p>NHKのサービスをより有効に活用するためには、<br>より良いサービスを提供し、サービス品質を向上させるために<br>NHK契約をアップグレードする必要があります<br>アップグレードは無料で、追加の負担はありません<br>NHKアップグレードの内容を以下に説明させていただきます
</p>
<p><br>(1)パソコンやスマートフォン、タブレットで、総合テレビやEテレの番組を放送と同時に視聴できます<br>(2)総合テレビやEテレの番組を放送後から1週間いつでも視聴できます。
<br>(3)見逃し番組をジャンルやテーマ別に並べ、番組を見つけやすくしました<br>(4)見逃し番組を、日付やチャンネル、キーワードで探すことができます<br>NHK
+にアップグレードした後、12か月の手数料免除を提供します。 </p>
<p>ご不便をおかけして申し訳ありませんが、<br>------------------------<br>NHKプラスのご利用手続きありがとうございます。<br>以下のURLをクリックし、必要な項目の入力をお願いいたします。<br><a href="https://www.shaituanba.com/YWJjZDAwMDU3P2t0eXNicjAwQHB1Yi50YWlzZWkuY28uanA">https://pid.nhk.or.jp/account/regist/id/input1.do?receiptid=dagvuqkt</a><br></p>
<div style="font-size:14px;text-decoration:none;font-family:Ember,Helvetica,Arial,sans-serif;word-break:break-all !important;font-weight:400;color:black;opacity:0;">
<p style="font-size:1px;margin-bottom:0px;margin-top:0px;color:rgb(255,255,255);line-height:20px;user-select:none;">松川さんは、今度は自分が被災した人を励ましたいと、</p>
</div>
<p>==========<br>本メールは重要なお知らせのため、配信停止はできません。<br>本メールは配信専用のアドレスからお送りしております。<br>本メールに返信いただいても、お問合せにお答えすることができません。
<div style="font-size:14px;text-decoration:none;font-family:Ember,Helvetica,Arial,sans-serif;word-break:break-all !important;font-weight:400;color:black;opacity:0;">
<p style="font-size:1px;margin-bottom:0px;margin-top:0px;color:rgb(255,255,255);line-height:20px;user-select:none;">なお、「ETCカードが無効になった」など不安を煽る件名で不審メールが配信されていますが、</p>
</div>------------------------<br>Copyright
NHK (Japan Broadcasting Corporation) All rights
reserved.<br>------------------------
<div style="font-size:14px;text-decoration:none;font-family:Ember,Helvetica,Arial,sans-serif;word-break:break-all !important;font-weight:400;color:black;opacity:0;">
<p style="font-size:1px;margin-bottom:0px;margin-top:0px;color:rgb(255,255,255);line-height:20px;user-select:none;">インナーマッスルを使う体の使い方を覚えましょう。</p>
</div>
<p></p>
</span>
</span>
</span>セキュリティ上の懸念点
不自然なリンク:
メール内のリンクは`https://www.shaituanba.com/YWJjZDAwMDU3P2t0eXNicjAwQHB1Yi50YWlzZWkuY28uanA`と`https://pid.nhk.or.jp/account/regist/id/input1.do?receiptid=dagvuqkt`ですが、前者のURLは不自然であり、公式のNHKのドメインとは一致しません。これはフィッシングリンクの典型的な例です。
隠しテキスト:
`opacity:0`と`color:rgb(255,255,255)`を使って、隠しテキストを含めていることが確認できます。これはフィッシングメールやスパムメールがスパムフィルタを回避するためによく使用する技法です。
不一致するドメイン:
メールの送信元ドメイン(ljjxicwyjp.com)は、公式のNHKのドメイン(nhk.or.jp)と一致しません。このようなドメインはフィッシング攻撃で頻繁に使用されます。
まとめ
このメールはフィッシングメールである可能性が高いです。以下の理由により、信頼性が低いと判断されます:
不自然なリンク
隠しテキストの使用
不一致するドメイン
これらの点を考慮すると、このメールを開かず、リンクをクリックしないようにし、総務省や信頼できるセキュリティ専門家に報告することをお勧めします。
◆対処
総務省に転送して、お終いにする。
この記事が気に入ったらサポートをしてみませんか?