見出し画像

20240329-B(MеtaMаsk・Urgent Action Required: Enable 2FA for Your Account:フィッシングメール)

ヒル

提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの起源を特定してください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。因みに、niftyのメールサーバーのホスト名とIPアドレスは、これです。
・IPアドレス:106.73.193.32
・ホスト名:M106073193032.v4.enabler.ne.jp
「Return-Path:
postmaster@8301ff1029.nxcli.io
Received:
from ifmta1017.nifty.com
by ibmta1017.nifty.com
with ESMTP
id 20240311104617598.BCPY.65653.ifmta1017.nifty.com@nifty.com
for xxxxxxxx@nifty.ne.jp;
Mon, 11 Mar 2024 19:46:17 +0900
Received:
from cloudhost-11099326.us-midwest-2.nxcli.net([199.189.225.60])
by ifmta1017.nifty.com
with ESMTP
id 20240311104617155.XCAL.63660.cloudhost-11099326.us-midwest-2.nxcli.net@nifty.com
for xxxxxxxx@nifty.ne.jp;
Mon, 11 Mar 2024 19:46:17 +0900
Received:
(qmail 16706 invoked by uid 10072);
11 Mar 2024 02:55:39 +0000
Authentication-Results:
nifty.com; spf=none smtp.mailfrom=postmaster@8301ff1029.nxcli.io;
sender-id=fail header.From=metamask@2fa.eth; dkim=none;
dkim-adsp=nxdomain header.from=metamask@2fa.eth
Date:
Mon, 11 Mar 2024 02:53:14 +0000
To:
xxxxxxxx@nifty.ne.jp
From:
MеtaMаsk metamask@2fa.eth
Reply-To:
metamask@2fa.eth
Subject:
Urgent Action Required: Enable 2FA for Your Account
Message-ID:
6acec0c136aac04b3122d94fafd4a816@2fa.eth
MIME-Version:
1.0
Content-Type:
multipart/alternative; boundary="16395cdfbe27079f05874b410855c2792"
Content-Transfer-Encoding:
8bit」

このメールヘッダーの分析から、いくつかの重要なポイントが見て取れます。各「Received」行とその他の重要な情報に基づいて、以下の詳細を検証します。

「Received」行の解析

  1. 最終受信サーバー(nifty.comからのメール):

    • ホスト名: `ibmta1017.nifty.com`(この情報はヘッダーには直接記載されていませんが、nifty.comのメールサービスの一部であると仮定)

    • IPアドレス: ヘッダー情報からは直接確認できませんが、nifty.comに関連するサーバーからの配信を示します。

  2. 中継サーバー(nifty.comによる中継):

    • ホスト名: `ifmta1017.nifty.com`

    • IPアドレス: 提供された情報に基づき、`106.73.193.32`(niftyのホスト名とIPアドレス)と関連付けられる可能性がありますが、このIPは直接ヘッダーには記載されていません。

  3. 送信元サーバー:

    • ホスト名: `cloudhost-11099326.us-midwest-2.nxcli.net`

    • IPアドレス: `199.189.225.60`

SPFとDKIMの結果の解釈

  • SPF(Sender Policy Framework):

    • 結果: `none`。これは、SPFレコードが見つからないか、設定されていないことを意味します。これにより、送信元ドメインがメールの送信を許可しているかどうかを確認できません。

  • DKIM(DomainKeys Identified Mail):

    • 結果: `none`。DKIM署名がメールに含まれていない、または検証できないことを意味します。これは、メールの完全性や送信元の検証ができないことを示します。

  • DKIM-ADSP(Author Domain Signing Practices):

    • 結果: `nxdomain`。これは、Fromヘッダーに指定されたドメインが存在しないか、DKIMのポリシーを持っていないことを示します。

セキュリティ上の懸念

  • SPFとDKIMの検証がなされていない、または失敗していることから、このメールは信頼性が低いと判断されます。これらは、フィッシング詐欺やスパムメールを識別する重要な指標です。

  • メールのFromアドレスが`metamask@2fa.eth`となっており、DKIM-ADSPの結果が`nxdomain`であることから、送信元ドメインの信頼性に大きな疑問が生じます。`eth`ドメインはEthereumのアドレスと関連付けられることがありますが、メールアドレスとしての使用は一般的ではありませんし、正規のメタマスクサービスから送信されたメールである可能性は低いです。

送信元ドメインの信頼性

  • `nxcli.io`は、このメールのReturn-Pathに指定されており、SPFの結果が`none`であるため、このドメインの信頼性も疑わしいです。また、`2fa.eth`ドメインからのメールであり、通常のメールアドレス形式ではないため、信頼性はさらに低いと考えられます。

総合的な評価

このメールは、セキュリティ上のリスクが高いと判断されます。SPFとDKIMの検証結果が不十分であり、送信元ドメインが疑わしいため、フィッシング詐欺やマルウェアの配布に利用されている可能性があります。受信者は、このメールに記載されているリンクをクリックしたり、添付ファイルを開いたりするべきではありません。また、正規のサービスプロバイダーからの確認を受けるまで、個人情報を提供するべきではありません。

IPアドレスの場所はここ。

このスクリーンショットに基づいて、IPアドレス`199.189.225.60`が示されている場所についていくつかの情報を提供できます。

  • ホスト名: `cloudhost-11099326.us-midwest-2.nxcli.net`

  • : アメリカ合衆国

  • 緯度と経度: 37.751, -97.822

この地理的情報は、IPアドレスがアメリカ中西部に位置していることを示しています。IPアドレスの物理的な場所が示されている地図上の場所は、具体的にはアメリカのカンザス州のようです。

セキュリティ上の懸念に関しては、前に分析した情報を基に、このIPアドレスが中継サーバーとして使用されたことがわかりますが、そのサーバーが正規のものか、または不正な活動に関与しているかは、この情報だけからは確定できません。

スクリーンショットによって提供される情報は限られているため、さらに深いセキュリティの評価を行うためには、IPアドレスが関連する他のインシデントやレポートのデータベースを確認する必要があります。また、IPアドレスが実際にどのような目的で使用されているかを調べるために、ドメインの名声や歴史を確認することも有効です。

テキスト部分はこれ。
「Account Security Notification body { font-family: 'Segoe UI', Tahoma, Geneva, Verdana, sans-serif; background-color: #f5f5f5; margin: 0; padding: 0; } .container { max-width: 600px; margin: 20px auto; padding: 20px; background-color: #ffffff; box-shadow: 0 0 10px rgba(0, 0, 0, 0.1); border-radius: 10px; } img { max-width: 100%; height: auto; display: block; margin: 0 auto; } h1 { text-align: center; color: #007BFF; margin-top: 20px; } p { color: #333333; line-height: 1.5; margin-bottom: 15px; text-align: left; } .cta-button { display: block; width: 100%; max-width: 200px; margin: 20px auto; padding: 12px 20px; font-size: 16px; font-weight: bold; text-align: center; text-decoration: none; background-color: #007BFF; color: #ffffff; border-radius: 5px; } .footer-text { color: #808080; font-size: 12px; text-align: center; margin-top: 20px; } Important Account Security Notification We take your account security seriously. Our system has detected unusual activity, prompting us to temporarily disable access to your account. Secure your account by activating Two-Factor Authentication (2FA) now: Activate 2FA Now If you have questions or need assistance, our dedicated support team is ready to help you. Thank you for your swift attention to this matter. Best regards,MetaMask Support © 2024 MetaMask. All rights reserved. This email is for account security purposes and cannot be replied to directly.」

このテキストは、HTMLで記述された電子メールの内容です。これは、ユーザーのアカウントセキュリティに関する通知を伝えるものとして設計されており、アカウントに対して通常と異なる活動が検出されたこと、そしてユーザーに対して2段階認証(2FA)を有効にするよう促しています。具体的なデザインとコンテンツの要素について見ていきましょう。

デザイン要素

  • フォント: メールは`'Segoe UI', Tahoma, Geneva, Verdana, sans-serif`フォントファミリーを使用しています。

  • 背景色: メールの背景色は`#f5f5f5`で、メールのコンテナは白色`#ffffff`です。

  • コンテナ: 幅は最大600pxで、丸みを帯びた角と薄い影を持っており、ページの中央に配置されます。

  • 画像: 画像は最大幅100%、自動的に高さが調整され、中央に配置されます。

  • 見出し(h1): 青色`#007BFF`で、中央揃えです。

  • 段落(p): 文字色は暗いグレー`#333333`、1.5行の行間で左揃えです。

コンテンツ要素

  • 重要なセキュリティ通知: ユーザーのアカウントに不審な活動が検出されたことが述べられています。

  • 2段階認証(2FA): 2FAを有効にするための呼びかけがあり、「Activate 2FA Now」のボタンが用意されています。

  • サポート: 質問やサポートが必要な場合の連絡先に言及しています。

  • 署名: メールはMetaMask Supportからのものであるとし、著作権表示が含まれています。

セキュリティ上の考慮事項

メールの本文とスタイルは一見正当に見えますが、先に分析したヘッダー情報と照らし合わせると、このメールがMetaMaskの公式サポートから送信されたものかどうか疑問が残ります。特に、SPFとDKIMの検証結果がないか、失敗している点は、このメールがフィッシング詐欺である可能性を示唆しています。正当な企業や組織からのメールでは通常、SPFとDKIMが正しく設定されているため、受信者はメールの送信元を検証し、疑わしいリンクをクリックしないようにすることが重要です。

html記述はこれ。ブラウザ画面はこれ。分析して。
「<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>Account Security Notification</title> <style> body { font-family: 'Segoe UI', Tahoma, Geneva, Verdana, sans-serif; background-color: #f5f5f5; margin: 0; padding: 0; } .container { max-width: 600px; margin: 20px auto; padding: 20px; background-color: #ffffff; box-shadow: 0 0 10px rgba(0, 0, 0, 0.1); border-radius: 10px; } img { max-width: 100%; height: auto; display: block; margin: 0 auto; } h1 { text-align: center; color: #007BFF; margin-top: 20px; } p { color: #333333; line-height: 1.5; margin-bottom: 15px; text-align: left; } .cta-button { display: block; width: 100%; max-width: 200px; margin: 20px auto; padding: 12px 20px; font-size: 16px; font-weight: bold; text-align: center; text-decoration: none; background-color: #007BFF; color: #ffffff; border-radius: 5px; } .footer-text { color: #808080; font-size: 12px; text-align: center; margin-top: 20px; } </style> </head> <body> <div class="container"> <img src="https://theme.zdassets.com/theme_assets/2313093/bad730fb4fa8145bf225c509b343cc23f951c2e9.svg" alt="Company Logo" style="height: 40px; width: 180px;"> <h1>Important Account Security Notification</h1> <p></p> <p>We take your account security seriously. Our system has detected unusual activity, prompting us to temporarily disable access to your account.</p> <p>Secure your account by activating Two-Factor Authentication (2FA) now:</p> <a class="cta-button" href="https://tiktokfyp.net/wp" target="_blank">Activate 2FA Now</a> <p>If you have questions or need assistance, our dedicated support team is ready to help you.</p> <p>Thank you for your swift attention to this matter.</p> <p>Best regards,<br>MetaMask Support</p> <p class="footer-text">© 2024 MetaMask. All rights reserved. This email is for account security purposes and cannot be replied to directly.</p> </div> </body> </html> 」

メールイメージ

HTMLテキストとブラウザ画面のスクリーンショットをもとに分析すると、いくつかのセキュリティに関する警告信号が見られます。

HTMLテキストの分析

HTMLのコードからは、以下のポイントが確認できます:

  • スタイル:体裁は一般的な通知メールのもので、読みやすいフォント、適切な色使い、クリーンなデザインが採用されています。

  • リンク:2FAをアクティブにするためのボタンがありますが、リンク先が「https://tiktokfyp.net/wp」となっており、これはMetaMaskの公式サイトではありません。フィッシングサイトへのリンクである可能性が高いです。

  • ロゴ:`img`タグで指定された画像は、MetaMaskのロゴを表していますが、`zdassets.com`ドメインから取得されており、これがMetaMaskの正式な資産であるかどうか確認が必要です。

スクリーンショットの分析

スクリーンショットからは、HTMLコードによって設計されたメールが実際にどのように表示されるかを確認できます:

  • メタマスクサポート: メールはMetaMask Supportを名乗っていますが、これはMetaMaskの公式サポートからのメッセージかどうか確かめる必要があります。

  • 2FAアクティベーションボタン: ボタンのデザインは魅力的ですが、リンク先が信頼できるかどうかは怪しいところです。公式のサイトであれば、通常、ドメイン名がブランド名を含んでいますが、提供されたリンクは異なるドメインになっています。

  • 版権表示: 「© 2024 MetaMask」との記載がありますが、これだけで公式であると判断することはできません。

セキュリティリスク

  • フィッシング: メールがフィッシング詐欺である可能性が高いです。フィッシングメールは、受信者に対してアクションを促すことで個人情報を盗む目的で作られています。

  • 信頼性のないリンク: 提供されたリンク先は、MetaMaskの公式サイトではなく、不審なウェブサイトである可能性が高いです。

結論

このメールは、受信者に対してアカウントのセキュリティ上のアクションを取らせるための詐欺メールである可能性が高いです。MetaMaskやその他のセキュリティに関わるサービスを利用する際は、常に公式サイトからの情報を基に行動することが重要です。もし不審な通知を受け取った場合は、直接そのサービスの公式ウェブサイトにアクセスして、アカウントの状況を確認することをお勧めします。

総務省に転送して、お終いにする。サンクス。

スクリーンショットとHTMLコードの分析を行いましたが、結果を総務省に転送するには、私の機能に限界があります。メールやその他の情報の転送は、私の機能の範囲外です。代わりに、このような疑わしいメールについて懸念がある場合は、ご自身で総務省のサイトを訪れて、指定された連絡方法を通じて適切な部署に通報することをお勧めします。

また、フィッシング詐欺や不正な活動の報告は、通常、総務省や他の政府機関の公式ウェブサイトにあるオンラインフォーム、もしくは電子メールで行うことができます。該当する機関のウェブサイトにアクセスして、必要な情報を提供してください。また、個人情報の漏洩に注意し、信頼できるセキュリティ対策を施してから情報を送信してください。

お手伝いが必要であれば、具体的な指示に従って対応いたしますが、直接の転送はできませんのでご了承ください。サポートが必要な場合は、どのように進めるかをお尋ねください。

この記事が気に入ったらサポートをしてみませんか?