見出し画像

20240522-A(メルカリ・【重要なお知らせ】メルカリ事務局からのお知らせご利用確認のお願い:フィッシングメール)

ヒル

◆提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの追跡をしてください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。因みに、niftyのメールサーバーのホスト名とIPアドレスは、これです。
・IPアドレス:106.73.193.32
・ホスト名:M106073193032.v4.enabler.ne.jp
「Return-Path:
whoughnwkou@hotmail.com
Return-Path:
whoughnwkou@hotmail.com
Received:
from ifmta1015.nifty.com
by ibmta1015.nifty.com
with ESMTP
id 20240522004305790.OJSP.118408.ifmta1015.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Wed, 22 May 2024 09:43:05 +0900
Received:
from OS0P286CU010.outbound.protection.outlook.com([52.103.66.0])
by ifmta1015.nifty.com
with ESMTP
id 20240522004305696.GPLB.112910.OS0P286CU010.outbound.protection.outlook.com@nifty.com
for xxxxxx@xxxx.nifty.ne.jp;
Wed, 22 May 2024 09:43:05 +0900
Received:
from TYCP286MB2798.JPNP286.PROD.OUTLOOK.COM (2603:1096:400:241::6)
by OS3P286MB2117.JPNP286.PROD.OUTLOOK.COM (2603:1096:604:194::5)
with Microsoft
SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)
id 15.20.7611.19;
Wed, 22 May 2024 00:43:04 +0000
Received:
from TYCP286MB2798.JPNP286.PROD.OUTLOOK.COM ([fe80::9ef2:6220:f291:9d3a])
by TYCP286MB2798.JPNP286.PROD.OUTLOOK.COM ([fe80::9ef2:6220:f291:9d3a%7])
with mapi
id 15.20.7611.016;
Wed, 22 May 2024 00:43:04 +0000
Authentication-Results:
nifty.com; spf=pass smtp.mailfrom=whoughnwkou@hotmail.com; sender-id=pass header.From=whoughnwkou@hotmail.com;
dkim=pass header.i=@hotmail.com;
dkim-adsp=pass header.from=whoughnwkou@hotmail.com
ARC-Seal:
i=1; a=rsa-sha256; s=arcselector9901; d=microsoft.com; cv=none;
b=hWp/e5G013W+svr3GaVnVgsZg8OwM6OxLJPCGycbsC6EXPVia3eI7WVPRIjfhvqPpsm3XTKndsgYUKng9rIwbFBbiJjyvWGWEiWasr3WeN5R8BXwl82InX2fKF4CNH3h4O28Q5C1HGuxP/DENMKRtOj6y9dptn8eLU51CD68ej/DHZa3XrwPPyL/D6nuUWQbSb5my+iDMDPc0fCTVUTTwa8StBuZvvRnndlXSDuxC8fIhoYMtDSu+Mal11Jv9XVpRJg8+y+b26CB5RxyszMO/CmXutAYVhq+BahOSiz+xe/Cwzu1QOVEpxUFbWLrfGbT27KLgXiAb8Ddh1XMAIY/nA==
ARC-Message-Signature:
i=1; a=rsa-sha256; c=relaxed/relaxed; d=microsoft.com; s=arcselector9901;
h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-AntiSpam-MessageData-ChunkCount:X-MS-Exchange-AntiSpam-MessageData-0:X-MS-Exchange-AntiSpam-MessageData-1;
bh=Ta7Ct1NaEU2BHmROrwGyAUTge6fEpAjJHPoEje/FB5w=;
b=EykvDK37dqVer9NRa2fBeKdQ+UC8h9ZDsdO2QZW3pEmgSBmAT652/3U8QBO+wNDZ0B5rpiPMSISPeNtu+pMCYBrDKndG1Osbo23TsBJs0dzjlPWm4OFp+m1nKJKNT4KnoYzbl2eTRy0g3T7jIrcVulyIEqAT6lb30jZCyDlFhJ/fSjv4ukhc/irxktmGKw0gtG/1CfzEFRIOaIGSI8sriQP5x22UlkK1UV2x1gQLoLmbV5+AauAFrwvoengfdTm3MIo/RHoVtzKVpgQy/IfC9niWm1jfwURBdTpd7blIdA9Rn4U+JBDLpAHAhRO8gOX+l45z3LJTJAuCdvf9lp7CUw==
ARC-Authentication-Results:
i=1; mx.microsoft.com 1; spf=none; dmarc=none; dkim=none; arc=none
DKIM-Signature:
v=1; a=rsa-sha256; c=relaxed/relaxed; d=hotmail.com; s=selector1;
h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
bh=Ta7Ct1NaEU2BHmROrwGyAUTge6fEpAjJHPoEje/FB5w=;
b=Mi7q7Sed0dLJVx3YLaH+j0CBu1+3ZsfviH/t55BFeXrsecXa+WopC2djxovFGTWzTPo97B0EuocpzSsTE0EWWuVwn6cpiM+FyeNrC0wfFBKdeCRHTmK69Xm24wu78v1ZlNJ94Q5KIAYbQ1TsHs+X+qt3vfwTM3iVwhwhVA7Tj3jJ03RweqLBS+3NdHk4RIbFRraaCRAc255yfxfE6JvfABKWr27+QNP8uRpO4V/VgL+e1ExQ8nHMeA94SCCS28r9Lc4tIk+L6Jtec/ElE1nYMrO9SdTdilWIatkybySuA/pKN0A01KWjf9hM6FH0D6eUZGlrTZAZK19pNrvd7jH1bg==
Message-ID:
TYCP286MB2798AE4D8CA99EA60C99B6F6ADEB2@TYCP286MB2798.JPNP286.PROD.OUTLOOK.COM
From:
メルカリ whoughnwkou@hotmail.com
To:
xxxxxxxx xxxxxxxx@xxxxx.nifty.ne.jp
Subject:
【重要なお知らせ】メルカリ事務局からのお知らせご利用確認のお願い
Date:
Wed, 22 May 2024 08:43:00 +0800
Content-Type:
multipart/alternative; boundary="----=001_c17b8dfca0661631=----"
X-Mailer:
・・・・
X-OriginatorOrg:
sct-15-20-4755-11-msonline-outlook-05f45.templateTenant
X-MS-Exchange-CrossTenant-Network-Message-Id:
f1f8327a-e1a5-4df6-eef6-08dc79f823a0
X-MS-Exchange-CrossTenant-AuthSource:
TYCP286MB2798.JPNP286.PROD.OUTLOOK.COM
X-MS-Exchange-CrossTenant-AuthAs:
Internal
X-MS-Exchange-CrossTenant-OriginalArrivalTime:
22 May 2024 00:43:04.2524 (UTC)
X-MS-Exchange-CrossTenant-FromEntityHeader:
Hosted
X-MS-Exchange-CrossTenant-Id:
84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa
X-MS-Exchange-CrossTenant-RMS-PersistedConsumerOrg:
00000000-0000-0000-0000-000000000000
X-MS-Exchange-Transport-CrossTenantHeadersStamped:
OS3P286MB2117」

メールヘッダーの分析

1. Received ヘッダーの調査

1.1. Received 行の解析

  • Received: from ifmta1015.nifty.com by ibmta1015.nifty.com

    • サーバー: ifmta1015.nifty.com

    • 時間: Wed, 22 May 2024 09:43:05 +0900

    • 受信者: xxxxxxxx@xxxxx.nifty.ne.jp

  • Received: from OS0P286CU010.outbound.protection.outlook.com ([52.103.66.0]) by ifmta1015.nifty.com

    • 送信元: OS0P286CU010.outbound.protection.outlook.com (52.103.66.0)

    • 時間: Wed, 22 May 2024 09:43:05 +0900

    • 受信者: xxxxxxxx@xxxxx.nifty.ne.jp

  • Received: from TYCP286MB2798.JPNP286.PROD.OUTLOOK.COM (2603:1096:400:241::6) by OS3P286MB2117.JPNP286.PROD.OUTLOOK.COM (2603:1096:604:194::5)

    • 送信元: TYCP286MB2798.JPNP286.PROD.OUTLOOK.COM (2603:1096:400:241::6)

    • 受信元: OS3P286MB2117.JPNP286.PROD.OUTLOOK.COM (2603:1096:604:194::5)

    • 時間: Wed, 22 May 2024 00:43:04 +0000

  • Received: from TYCP286MB2798.JPNP286.PROD.OUTLOOK.COM ([fe80::9ef2:6220:f291:9d3a]) by TYCP286MB2798.JPNP286.PROD.OUTLOOK.COM ([fe80::9ef2:6220:f291:9d3a%7])

    • 送信元: TYCP286MB2798.JPNP286.PROD.OUTLOOK.COM ([fe80::9ef2:6220:f291:9d3a])

    • 受信元: TYCP286MB2798.JPNP286.PROD.OUTLOOK.COM ([fe80::9ef2:6220:f291:9d3a%7])

    • 時間: Wed, 22 May 2024 00:43:04 +0000

2. IPアドレスの追跡

2.1. IP 52.103.66.0

  • プロバイダー: Microsoft Corporation

  • 場所: アメリカ合衆国

  • 使用: Microsoft Outlook サーバー

2.2. IP 2603:1096:400:241::6

  • プロバイダー: Microsoft Corporation

  • 場所: アメリカ合衆国

  • 使用: Microsoft Outlook サーバー

2.3. IP 2603:1096:604:194::5

  • プロバイダー: Microsoft Corporation

  • 場所: アメリカ合衆国

  • 使用: Microsoft Outlook サーバー

2.4. IP fe80::9ef2:6220:f291:9d3a

  • プロバイダー: ローカルネットワークアドレス

  • 場所: ローカル

  • 使用: Microsoft Outlook サーバー

3. SPFとDKIMの結果

3.1. SPF

  • 結果: pass

  • 詳細: whoughnwkou@hotmail.com からのメールは、送信元IPアドレスが許可されていることを示しています。

3.2. DKIM

  • 結果: pass

  • 詳細: メールがhotmail.comから送信されたことを確認するための署名が有効です。

4. セキュリティ上の懸念

  • SPFとDKIMの結果がpassであるため、メールの送信元が偽装されていない可能性が高いです。

  • 送信元ドメイン(hotmail.com)は、一般的に信頼されるドメインですが、スパムやフィッシングメールに使用されることもあるため、注意が必要です。

5. 送信元ドメインの信頼性評価

  • hotmail.comは、Microsoftが提供する無料のメールサービスで、多くのユーザーに利用されています。

  • ただし、無料メールサービスはスパムやフィッシングメールの送信に利用されることもあるため、内容を確認し、疑わしい場合はリンクをクリックしないなどの対策が必要です。

以上の分析結果から、このメールは送信元アドレスが正当である可能性が高いですが、依然として慎重に扱うべきです。メールの内容が信頼できるものであるかどうかを確認し、疑わしい場合は公式サイトからの確認を行うことをお勧めします。

◆テキスト部分はこれ。
「最近行われましたプライバシ-ボリシ-の改定に伴いまして、こ確認のお手続きは、一回限りで、数分で終了致します。

お客様によるご確認行為は必須となっており、お客様のアカウント情報のご確認が行われなかった場合は、アカウントが停止される可能性がごさいます。

この確認は義務付けられており、確認していただけない$・喧合は、アカウントが停止される場合もあります。

お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。

■ご利用確認はこちら

※あなたの口座の安全のために,請求先情報の確認が完了するまで、お客様のアカウントへのアクセスを停止させていただきますので、ご了承ください。
何卒、よろしくお願い申し上げます。
※24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。

ーーーーーーーーーーーーーーーーーーーー

メルカリ利用規約
・・・・
https://static.jp.mercari.com/privacy?_gl=1*cayagx*_ga*MjA5OTIzNzI1LjE3MDg5MDE5ODA.*_ga_4NLR7T2LEN*MTcwODkzNDM1Ni4yLjEuMTcwODkzNzQ4Mi42MC4wLjA.
株式会社メルペイ
ーーーーーーーーーー
※株式会社メルペイはメルカリの決済サービスを運営しています

メールテキストの分析

1. テキスト部分の内容

日本語の文法と表現の確認

  1. 誤字脱字

    • 「こ確認のお手続き」→「ご確認のお手続き」

    • 「ごさいます」→「ございます」

    • 「合は」→「場合」

  2. 不自然な表現

    • 「確認していただけない$・喧合は」→「確認していただけない場合は」

    • 「お客様にはご迷惑、ご心配をお掛けし」→「お客様にはご迷惑、ご心配をおかけし」

  3. 明らかな不正確さ

    • 「プライバシ-ボリシ-」→「プライバシーポリシー」

2. フィッシングメールの特徴

  1. 急かす表現

    • 「お客様のアカウント情報のご確認が行われなかった場合は、アカウントが停止される可能性がごさいます。」

    • 「24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきます。」

  2. リンクの存在

    • 「■ご利用確認はこちら」というリンクが含まれている。

  3. 不自然な文体

    • 一部の文法や表現が不自然であることから、日本語ネイティブではない人物による作成の可能性がある。

3. フィッシングメールの可能性と対策

フィッシングメールの可能性が高いです。 理由は以下の通りです:

  • 不自然な日本語表現と誤字脱字

  • 急かす内容とアカウント停止の警告

  • リンクの存在

推奨対策

  1. リンクをクリックしないこと

    • 公式サイトに直接アクセスして確認を行う。

  2. メールを無視して削除する

    • メールを無視し、公式サポートに確認する。

  3. セキュリティソフトの使用

    • フィッシングメールからの保護を強化するために、セキュリティソフトを使用する。

4. メールの信頼性評価

発信元の確認

  • SPF、DKIMの結果:パスしているため、メールの送信元が正当である可能性が高いです。ただし、送信元が偽装されている可能性もあるため、内容に注意が必要です。

実在するドメインからの送信

  • hotmail.com:信頼できるドメインですが、スパムやフィッシングに利用されることもあります。

5. 結論

このメールは、フィッシングメールである可能性が非常に高いです。内容に不自然な点が多く、急かすような表現や不自然な日本語が使用されています。公式の連絡先に直接確認することをお勧めします。

◆html記述はこれ。ブラウザ画面はこれ。
「<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"><html><head> <meta http-equiv="Content-Type" content="text/html; charset=iso-2022-jp"> <meta name="GENERATOR" content="MSHTML 11.00.9600.17416"></head> <body> <p>最近行われましたプライバシ-ボリシ-の改定に伴いまして、こ確認のお手続きは、一回限りで、数分で終了致します。</p> <p>お客様によるご確認行為は必須となっており、お客様のアカウント情報のご確認が行われなかった場合は、アカウントが停止される可能性がごさいます。</p> <p>この確認は義務付けられており、確認していただけない&#22520;合は、アカウントが停止される場合もあります。</p> <p>お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。<br>何卒ご理解いただきたくお願い申しあげます。</p> <p><a href="https://mmhy719.com/"><font color="blue">■ご利用確認はこちら</font></a></p> <p><font face="微&#36719;雅黑"><font size="2"><font color="#ff0000">※</font>あなたの口座の安全のために,請求先情報の確認が完了するまで、お客様のアカウントへのアクセスを停止させていただきますので、ご了承ください。<br>何卒、よろしくお願い申し上げます。<br><font color="#ff0000">※</font>24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。</font></font></p> <p>ーーーーーーーーーーーーーーーーーーーー<br></p>
・・・・・ _gl=1*cayagx*_ga*MjA5OTIzNzI1LjE3MDg5MDE5ODA.*_ga_4NLR7T2LEN*MTcwODkzNDM1Ni4yLjEuMTcwODkzNzQ4Mi42MC4wLjA</a>.<br>株式会社メルペイ<br>ーーーーーーーーーー<br>※株式会社メルペイはメルカリの決済サービスを運営しています</p></body></html> 」

メールイメージ

メールのHTMLコードの分析

1. メールの内容

  • メールは、プライバシーポリシーの改定に伴う確認手続きの依頼を装った内容です。

  • アカウント情報の確認が行われない場合、アカウントが停止される可能性があると警告しています。

  • 「ご利用確認はこちら」というリンクがあり、クリックを誘導しています。

  • メルカリの利用規約やプライバシーポリシーの一部を引用しています。

2. HTMLコードの検証

以下は、メールの重要な部分の解析です。

リンク部分

<a href="https://mmhy719.com/"><font color="blue">■ご利用確認はこちら</font></a>

  • リンク先が「https://mmhy719.com/」となっており、メルカリの公式サイトではありません。このドメインは非常に疑わしいです。

重要な警告部分

<p><font face="微&#36719;雅黑"><font size="2"><font color="#ff0000">※</font>あなたの口座の安全のために,請求先情報の確認が完了するまで、お客様のアカウントへのアクセスを停止させていただきますので、ご了承ください。<br>何卒、よろしくお願い申し上げます。<br><font color="#ff0000">※</font>24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。</font></font></p>

  • 請求先情報の確認が完了するまでアカウントが停止されると脅しています。

3. フィッシングメールの特徴

  • リンクのドメイン:「mmhy719.com」はメルカリの公式ドメインではないため、フィッシングの可能性が高いです。

  • 緊急性を強調:「アカウントが停止される」「24時間以内に確認」といった緊急性を強調する表現が多用されています。

  • 不自然な日本語:一部の文に誤字や不自然な表現が見られます。

4. フィッシングメールと判断する理由

  • 公式ドメインではないリンク:公式サイト以外のリンクをクリックするように促すメールは、フィッシングメールの可能性が高いです。

  • 緊急性を強調:アカウントがすぐに停止されるといった脅しの表現が含まれています。

  • 不自然な日本語:公式なメールであれば、誤字や不自然な表現は少ないはずです。

5. 推奨される対策

  1. リンクをクリックしない:メールに記載されたリンクはクリックしないこと。

  2. 公式サイトに直接アクセス:メルカリの公式サイトに直接アクセスし、ログインして確認する。

  3. メールを無視して削除:このメールは無視して削除することを推奨します。

  4. フィッシングメールの報告:公式のサポートにフィッシングメールとして報告する。

メールのHTMLコードや内容から判断して、このメールはフィッシングメールである可能性が非常に高いです。公式の連絡先に確認し、不明なリンクをクリックしないよう注意してください。

◆まず、確信から行ってしまうと。私はメルカリを使用していないので、そもそもアカウントを持っていない。

それなら、メールがフィッシングメールである可能性は非常に高いです。メルカリのアカウントを持っていないにも関わらず、アカウントに関する確認を求めるメールは明らかに詐欺的な意図を持っています。

フィッシングメールの特徴と対策

特徴

  1. 緊急性を強調:メールで「アカウントが停止される」といった脅迫的な表現が使われている。

  2. 不自然な日本語:メール内に誤字脱字や不自然な表現が見られる。

  3. 疑わしいリンク:公式サイトとは異なるURLが記載されている(例:mmhy719.com)。

  4. 不一致なサービス:使用していないサービスからのメール。

対策

  1. リンクをクリックしない:メール内のリンクは絶対にクリックしない。

  2. 公式サイトを確認:使用しているサービスの公式サイトや公式アプリから情報を確認する。

  3. メールを削除:このようなメールは無視して削除する。

  4. フィッシングメールとして報告:メールプロバイダや使用しているセキュリティサービスにフィッシングメールとして報告する。

実行すべきこと

  • メールを無視して削除し、リンクをクリックしないでください。

  • フィッシングメールとして報告する場合、提供された情報を含めて報告します。

ご質問や他の疑わしいメールについての相談があれば、いつでもお知らせください。

◆総務省に転送して、お終いにする。サンクス。

了解しました。それが最善の方法です。総務省にフィッシングメールを転送して報告することで、他のユーザーが被害に遭うのを防ぐ手助けになります。

何か他にお手伝いできることがあれば、いつでもお知らせください。気をつけて、引き続きセキュリティにご注意ください。

◆構文解析の精度が上がったね。深度も。それに、何より処理速度の向上が著しい。素晴らしい。

お褒めの言葉、ありがとうございます!さらに役立つ情報やサポートが必要な場合は、いつでもお知らせください。今後ともよろしくお願いします。

この記事が気に入ったらサポートをしてみませんか?