20240721-A(Re: ファミリーエステート (xxxxxxxx@nifty.ne.jp):フィッシングメール)
◆メールイメージ
◆メールヘッダー解析
メールヘッダーの詳細な分析を行います。以下の各ステップに基づいて調査を進めます:
Received 行の解析
各IPアドレスの追跡
SPFとDKIMの結果の解釈
セキュリティ上の懸念の確認
送信元ドメインの信頼性評価
1. Received 行の解析
Received 行 1:
from ifmta1019.nifty.com by ibmta1019.nifty.com with ESMTP id <20240716171743476.JKNM.109509.ifmta1019.nifty.com@nifty.com> for <xxxxxxxx@nifty.ne.jp>; Wed, 17 Jul 2024 02:17:43 +0900送信元サーバー: ifmta1019.nifty.com
受信サーバー: ibmta1019.nifty.com
タイムスタンプ: 2024年7月17日 02:17:43 (JST)
Received 行 2:
from 7085928.wallstreetreporter.com([162.214.201.189]) by ifmta1019.nifty.com with ESMTP id <20240716171743181.LGYC.104011.7085928.wallstreetreporter.com@nifty.com> for <xxxxxxxx@nifty.ne.jp>; Wed, 17 Jul 2024 02:17:43 +0900送信元サーバー: 7085928.wallstreetreporter.com ([162.214.201.189])
受信サーバー: ifmta1019.nifty.com
タイムスタンプ: 2024年7月17日 02:17:43 (JST)
Received 行 3:
from [46.183.221.48] (port=59993 helo=counsellor.com) by 7085928.wallstreetreporter.com with esmtpsa (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (Exim 4.96.2) (envelope-from <victorcheon@counsellor.com>) id 1sTlo4-0003cy-1B for xxxxxxxx@nifty.ne.jp; Tue, 16 Jul 2024 12:17:40 -0500送信元IP: 46.183.221.48 (helo=counsellor.com)
受信サーバー: 7085928.wallstreetreporter.com
タイムスタンプ: 2024年7月16日 12:17:40 (CST)
2. 各IPアドレスの追跡
IPアドレス 162.214.201.189
ホスト名: 7085928.wallstreetreporter.com
情報: このIPアドレスは通常、ウェブホスティングやメールサービスを提供するサーバーです。
IPアドレス 46.183.221.48
ホスト名: counsellor.com
情報: このIPアドレスは、欧州のVPNサービスまたはプロキシサービスから発信されている可能性があります。信頼性が低い可能性があります。
3. SPFとDKIMの結果の解釈
SPF
結果: softfail
解釈: このメールの送信元IPは、送信元ドメイン(counsellor.com)のSPFレコードにリストされていないか、許可されていない可能性があります。
DKIM
結果: pass
解釈: メールが改ざんされていないことを確認するためのDKIM署名は有効です。ただし、DKIM署名のドメインはnextsuperstock.comです。
4. セキュリティ上の懸念の確認
softfailのSPF結果や不一致のDKIM署名ドメインは、メールが偽装されている可能性を示唆しています。
46.183.221.48のIPアドレスは、不正アクセスやスパム送信に使用される可能性があるため注意が必要です。
5. 送信元ドメインの信頼性評価
counsellor.comおよびnextsuperstock.comは、一般的に認知されている信頼性のあるドメインではありません。これらのドメインは不正行為に使用される可能性があります。
結論
このメールは、フィッシングやスパムの可能性が非常に高いです。SPFとDKIMの結果およびIPアドレスの分析に基づいて、このメールの送信元を信頼することはお勧めできません。
セキュリティ上の対策として、このメールを無視し、削除することをお勧めします。また、必要に応じてメールサービスプロバイダーやセキュリティ担当者に報告することをお勧めします。
◆HTML記述構造解析
HTML記述構造を解析します。このメールは、内容をHTML形式で記述しており、以下の要素が含まれています。
HTML構造の解析
ヘッダー部分
<HTML><HEAD>
<META name=GENERATOR content="MSHTML 11.00.9600.19699"></HEAD><HTML>タグ: HTML文書の開始を示します。
<HEAD>タグ: メタデータを含むセクションです。
<META>タグ: このHTML文書が「MSHTML 11.00.9600.19699」によって生成されたことを示しています。
ボディ部分
<body>
<P><FONT face="Comic Sans MS">内容</FONT></P><body>タグ: HTML文書の本文を示します。
<P>タグ: 段落を示します。
<FONT>タグ: フォントのスタイルを指定します。この場合、「Comic Sans MS」フォントを使用しています。
コンテンツの解析
日本語のテキスト(文字化け)
親愛なる xxxxxxxx@nifty.ne.jp,<BR><BR>私は私立探偵で、金融機関から、以前亡くなった人物とあなたの関係を確認するよう依頼を受けました。<BR><BR>
彼は遺言書を残さずに亡くなり、財産を残しました。私たちは、あなたが故人と関係があると考える理由があります。<BR><BR>
詳細については、私または鑑定人に連絡して確認してください。<BR><BR>敬具、<BR>ビクター・チェン<BR></FONT>文字化けの原因: `{xx;`や`親`などのエンティティコードが多用されています。これらはUTF-8エンコーディングを示しており、日本語テキストがエンコードされています。
変換後のテキスト: 日本語のメッセージに変換する必要があります。
フッター部分
<FONT size=1 face=Verdana>
このメッセージはVictor Chenのセキュリティ保護されたサーバーから送信されており、このメールは xxxxxxxx@nifty.ne.jp, 2024</FONT><FONT>タグ: フォントスタイルを指定しています。ここでは「Verdana」を使用しています。
エンティティコード: この部分でも日本語がエンコードされています。
文字化け部分のデコード
エンティティコードをデコードして実際の日本語テキストを表示します。
デコードされたテキスト
親愛なる xxxxxxxx@nifty.ne.jp,
私は私立探偵で、金融機関から、以前亡くなった人物とあなたの関係を確認するよう依頼を受けました。
彼は遺言書を残さずに亡くなり、財産を残しました。私たちは、あなたが故人と関係があると考える理由があります。
厳密に言っては、私または既定人に連絡して確認してください。
敬具、
ビクター・チェンフッターデコード
このメッセージはVictor Chenのセキュリティ保護されたサーバーから送信されており、このメールは xxxxxxxx@nifty.ne.jp, 2024総合評価
フォントスタイル: メールのフォントがComic Sans MSおよびVerdanaと設定されており、公式のメールとしては珍しい選択です。これはフィッシングメールの特徴の一つです。
内容: メールの内容は、亡くなった人物と関係があることを示唆するもので、個人情報を引き出すための典型的な手法です。
セキュリティリスク: エンティティコードの使用と不自然な日本語の文章は、フィッシングメールの可能性が高いことを示唆しています。
このメールはフィッシングメールの可能性が非常に高いため、注意が必要です。リンクをクリックしたり、個人情報を提供したりしないようにしてください。
◆対処
総務省に転送して、お終いにする。
この記事が気に入ったらサポートをしてみませんか?