見出し画像

20240518-A(@nifty・行動をお願いします!:フィッシングメール)

ヒル

◆提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの追跡をしてください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。因みに、niftyのメールサーバーのホスト名とIPアドレスは、これです。
・IPアドレス:106.73.193.32
・ホスト名:M106073193032.v4.enabler.ne.jp
「Return-Path:
info@kenkai-reform.shop
Received:
from ifmta0009.nifty.com
by ibmta0009.nifty.com
with ESMTP
id 20240515095105436.URBK.73541.ifmta0009.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Wed, 15 May 2024 18:51:05 +0900
Received:
from smtp1.kagoya.net([153.127.234.17])
by ifmta0009.nifty.com
with ESMTP
id 20240515095105332.SDUQ.62047.smtp1.kagoya.net@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Wed, 15 May 2024 18:51:05 +0900
Received:
from VPS-309387 (p3741237-ipxg22301hodogaya.kanagawa.ocn.ne.jp [153.164.167.237])
by smtp1.kagoya.net (Postfix)
with ESMTPSA
id 0A9C66034DCA0
for xxxxxxxx@xxxxx.nifty.ne.jp;
Wed, 15 May 2024 18:51:04 +0900 (JST)
Authentication-Results:
nifty.com; spf=pass smtp.mailfrom=info@kenkai-reform.shop; sender-id=pass header.Sender=info@kenkai-reform.shop;
dkim=none;
dkim-adsp=none header.from=info@kenkai-reform.shop
From:
@nifty info@kenkai-reform.shop
Date:
Wed, 15 May 2024 09:51:03 +0000
Subject:
行動をお願いします!
Message-Id:
RMCPPAY62NU4.PI2JQGSCS5IY2@kenkai-reform.shop
To:
xxxxxxxx@xxxxx.nifty.ne.jp
Sender:
info@kenkai-reform.shop
Reply-To:
info@kenkai-reform.shop
Priority:
urgent
Importance:
high
MIME-Version:
1.0
Content-Type:
multipart/alternative; boundary="=-eO6pQ8anXVe7tJlK5IWCkQ=="」

メールヘッダーの詳細な分析を行い、各「Received」行とIPアドレスの追跡を行い、SPFとDKIMの結果を解釈します。以下に各「Received」行の詳細な解析を示します。

受信ヘッダーの解析

1. 最初の「Received」行

Received: from ifmta0009.nifty.com by ibmta0009.nifty.com with ESMTP id <20240515095105436.URBK.73541.ifmta0009.nifty.com@nifty.com> for <xxxxxxxx@xxxxx.nifty.ne.jp>; Wed, 15 May 2024 18:51:05 +0900

  • 送信元: ifmta0009.nifty.com

  • 受信先: ibmta0009.nifty.com

  • 受信日時: 2024年5月15日18:51:05(JST)

2. 2番目の「Received」行

Received: from smtp1.kagoya.net([153.127.234.17]) by ifmta0009.nifty.com with ESMTP id <20240515095105332.SDUQ.62047.smtp1.kagoya.net@nifty.com> for <xxxxxxxx@xxxxx.nifty.ne.jp>; Wed, 15 May 2024 18:51:05 +0900

  • 送信元: smtp1.kagoya.net (IP: 153.127.234.17)

  • 受信先: ifmta0009.nifty.com

  • 受信日時: 2024年5月15日18:51:05(JST)

3. 3番目の「Received」行

Received: from VPS-309387 (p3741237-ipxg22301hodogaya.kanagawa.ocn.ne.jp [153.164.167.237]) by smtp1.kagoya.net (Postfix) with ESMTPSA id 0A9C66034DCA0 for <xxxxxxxx@xxxxx.nifty.ne.jp>; Wed, 15 May 2024 18:51:04 +0900 (JST)

  • 送信元: VPS-309387 (IP: 153.164.167.237, ホスト名: p3741237-ipxg22301hodogaya.kanagawa.ocn.ne.jp)

  • 受信先: smtp1.kagoya.net

  • 受信日時: 2024年5月15日18:51:04(JST)

SPFとDKIMの結果の解釈

Authentication-Results: nifty.com; spf=pass smtp.mailfrom=info@kenkai-reform.shop; sender-id=pass header.Sender=info@kenkai-reform.shop; dkim=none; dkim-adsp=none header.from=info@kenkai-reform.shop

  • SPF: `pass`

    • 送信元ドメイン `kenkai-reform.shop` のIPアドレスがSPFレコードと一致していることを示します。

  • DKIM: `none`

    • DKIM署名が付与されていないため、メッセージの整合性を検証することができません。

  • Sender-ID: `pass`

    • メール送信元アドレスのドメイン認証が成功していることを示します。

各IPアドレスの追跡

  • IP: 153.127.234.17 (smtp1.kagoya.net)

    • カゴヤ・ジャパン株式会社のメールサーバー。

  • IP: 153.164.167.237 (p3741237-ipxg22301hodogaya.kanagawa.ocn.ne.jp)

    • NTTコミュニケーションズのIPアドレス。ホスト名は神奈川県のHodogaya地区を示しています。

送信元ドメインの信頼性評価

  • ドメイン: kenkai-reform.shop

    • ドメイン名自体が新しく、特定の業者や企業に関連付けられていない可能性があります。また、「.shop」ドメインは比較的新しく、信頼性が低い場合もあります。DKIM署名がない点も信頼性に欠ける要因となります。

セキュリティ上の懸念

  • SPFがPassしているため、送信元IPアドレスが正当である可能性は高いです。

  • DKIMがNoneであるため、メッセージの整合性を保証できないことから、改ざんのリスクがあります。

  • 送信元ドメインが不明瞭であるため、フィッシングの可能性も否定できません。

以上の解析結果から、このメールにはいくつかのセキュリティ上の懸念があることがわかります。特に、DKIM署名の欠如と送信元ドメインの信頼性が低い点に注意が必要です。

テキスト部分はこれ。分析して。
「重要なお知らせ
現在のメールアカウントxxxxxxxx@xxxxx.nifty.ne.jpが認証されていません。受信メッセージの保留や永久的な紛失を防ぐため、メールボックスの再確認をお願いします。
どうすればいいですか?
に行く:https://mail-nifty-com-mailer-jp.com
お客様のメールアカウントがスパムに使用されていないことを確認するため、メールボックスの再確認をお願いいたします。
メールボックスの確認を行わないと、メールの受信や送信ができなくなります。アカウントを最新の状態に保ってください。」

このテキスト部分からフィッシングメールの可能性が高いと判断できます。以下に、詳細な分析を示します。

メール内容の分析

1. 緊急性を煽るメッセージ

重要なお知らせ
現在のメールアカウントxxxxxxxx@xxxxx.nifty.ne.jpが認証されていません。受信メッセージの保留や永久的な紛失を防ぐため、メールボックスの再確認をお願いします。

  • 緊急性を煽り、受信者に即座に行動を促しています。このような手法はフィッシングメールによく見られます。

2. 行動を促すリンク

に行く:https://mail-nifty-com-mailer-jp.com

  • 本物のサービスを装ったリンクを提示していますが、ドメイン名が不自然です。niftyの公式サイトとは異なります。

3. 恐怖感を煽る内容

お客様のメールアカウントがスパムに使用されていないことを確認するため、メールボックスの再確認をお願いいたします。
メールボックスの確認を行わないと、メールの受信や送信ができなくなります。アカウントを最新の状態に保ってください。

  • 受信者が即座に行動しないと、アカウントの機能が制限されるという脅しの要素を含んでいます。これも典型的なフィッシングの手法です。

セキュリティ上の懸念

  1. 偽のリンク: 提供されたURLはniftyの公式ドメインではなく、似たような名前を使った偽のドメインです。このリンクをクリックすると、フィッシングサイトに誘導され、個人情報が盗まれる可能性があります。

  2. 緊急性と恐怖感の演出: フィッシングメールは、受信者に即座に行動を起こさせるために、緊急性や恐怖感を利用することが多いです。このメールもその典型的な例です。

  3. ドメイン名の不一致: `mail-nifty-com-mailer-jp.com`というドメインは、本来のniftyのドメイン構造とは異なります。本物のniftyのドメインは `nifty.com` で終わるはずです。

まとめ

このメールは、フィッシングメールである可能性が非常に高いです。以下の対策を講じることをお勧めします。

  • リンクをクリックしない: 提供されたリンクをクリックしないでください。

  • メールを無視する: このメールに返信したり、提供されたリンクにアクセスしたりしないでください。

  • 公式サポートに連絡する: アカウントに関する疑問や不安がある場合は、niftyの公式サポートに直接連絡してください。

  • セキュリティソフトの使用: フィッシングメールやその他のサイバー攻撃から保護するために、信頼できるセキュリティソフトを使用することをお勧めします。

このようなフィッシングメールは日常的に多く送信されており、常に慎重に対応することが重要です。

◆html記述はこれ。ブラウザ画面はこれ。分析して。
「<!DOCTYPE html> <html> <head> <meta content="text/html; charset=us-ascii" http-equiv="Content-Type"> <meta name="GENERATOR" content="MSHTML 11.00.10570.1001"> <title></title> </head> <body>
・・・・
initial">???????????xxxxxxxx@xxxxx.nifty.ne.jp?????????????????????????????????????????????????????</span></font></font></p> ・ <p style="FONT-SIZE: small; FONT-FAMILY: Arial, Helvetica, sans-serif; WHITE-SPACE: normal; WORD-SPACING: 0px; TEXT-TRANSFORM: none; FONT-WEIGHT: 400; COLOR: rgb(0,0,0); FONT-STYLE: normal; ORPHANS: 2; WIDOWS: 2; LETTER-SPACING: normal; TEXT-INDENT: 0px; font-variant-ligatures: normal; font-variant-caps: normal; -webkit-text-stroke-width: 0px; text-decoration-thickness: initial; text-decoration-style: initial; text-decoration-color: initial"></p> <p><font size="2" face="Arial, Helvetica, sans-serif"><font face="Arial, Helvetica, sans-serif"><br class="Apple-interchange-newline"></font></font></p> <hr id="m_-8756200504810238427x_false"> </body> </html>」

メールイメージ

HTML メールの分析

内容の確認

HTMLソースを確認すると、いくつかの特徴があります:

  1. 非表示のテキストや不自然な記号:

    • 多くの「?????????」の記号があり、これらはエンコードが正しくないために表示されている可能性があります。

  2. リンク:

    • メール内に含まれているリンク: `https://mail-nifty-com-mailer-jp.com`

    • これはniftyの正規のドメインではなく、フィッシングリンクの可能性が高いです。

  3. スタイル:

    • フォントスタイルやサイズ、色などが詳細に指定されていますが、特に意味のある情報は含まれていません。

セキュリティ分析

  1. フィッシングの可能性:

    • メールに含まれるリンクが不自然であり、正規のniftyドメインとは異なるため、フィッシングの可能性が高いです。

  2. エンコードの問題:

    • メールの本文が正しく表示されておらず、エンコードが間違っている可能性があります。これもフィッシングメールの特徴の一つです。

ブラウザ画面の確認

添付された画像のスクリーンショットを確認すると、メールの本文が正しく表示されていないことがわかります。これもフィッシングメールの特徴です。

推奨される対策

  1. リンクをクリックしない:

    • 提供されたリンクにはアクセスしないでください。

  2. メールを無視する:

    • このメールに返信したり、提供されたリンクにアクセスしたりしないでください。

  3. 公式サポートに連絡する:

    • アカウントに関する疑問や不安がある場合は、niftyの公式サポートに直接連絡してください。

  4. セキュリティソフトの使用:

    • フィッシングメールやその他のサイバー攻撃から保護するために、信頼できるセキュリティソフトを使用することをお勧めします。

このメールはフィッシングメールの典型的な例であり、慎重に対応することが重要です。

◆総務省に転送して、お終いにする。サンクス。

総務省にフィッシングメールを転送して報告するのは適切な対応です。

この記事が気に入ったらサポートをしてみませんか?