20240323-F(【ご注意】MasterCardカード:不正使用疑惑のセキュリティチェック:フィッシングメール)
提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの起源を特定してください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。因みに、niftyのメールサーバーのホスト名とIPアドレスは、これです。
・IPアドレス:106.73.193.32
・ホスト名:M106073193032.v4.enabler.ne.jp
「Return-Path:
noreply@okwater.tokyo
Received:
from ifmta0001.nifty.com
by ibmta0001.nifty.com
with ESMTP
id 20240313110317879.NWJQ.45700.ifmta0001.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Wed, 13 Mar 2024 20:03:17 +0900
Received:
from mail0.okwater.tokyo([45.14.64.248])
by ifmta0001.nifty.com
with ESMTP
id 20240313110317348.YZIB.43664.mail0.okwater.tokyo@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Wed, 13 Mar 2024 20:03:17 +0900
Authentication-Results:
nifty.com; spf=permerror smtp.mailfrom=noreply@okwater.tokyo;
sender-id=permerror header.Sender=noreply@okwater.tokyo; dkim=pass header.i=noreply@okwater.tokyo;
dkim-adsp=none header.from=nike@notifications.nike.com
DKIM-Signature:
v=1; a=rsa-sha256; c=relaxed/relaxed; s=default; d=okwater.tokyo;
h=Message-ID:Sender:From:To:Subject:Date:MIME-Version:Content-Type: Content-Transfer-Encoding;
i=noreply@okwater.tokyo; bh=zY0q+OpGvMJNPjQ/sPs4SsBRvRV9+WRbURe7BKfiEBQ=;
b=SLrzmvxYYLMpCZ4aQOiv0UDCRNl/WHqQCtobUcT+gGjkhPf4FLU2Q4O1cdxMN5raOXF44bduDNZS 2sUavX0M3YlHrNDutwr1wQgiiXMtus/8m30zMsx9+W/ozGROUKJRXGZtEsqXqp1CrCXKzan7lpVK dGBd868uW67OOkwPNR4=
Message-ID:
2374921971424e9ffa53273120a7678d@notifications.nike.com
Sender:
noreply@okwater.tokyo
From:
マスターカード nike@notifications.nike.com
To:
xxxxxxxx xxxxxx@xxxxx.nifty.ne.jp
Subject:
【ご注意】MasterCardカード:不正使用疑惑のセキュリティチェック
Date:
Wed, 13 Mar 2024 05:43:11 +0800
MIME-Version:
1.0
Content-Type:
text/plain; charset="utf-8"
Content-Transfer-Encoding:
quoted-printable」
メールヘッダーの詳細な分析を行います。まず、各「Received」行からIPアドレスの起源を特定し、その後SPFとDKIMの結果を解釈してセキュリティ上の懸念があるかどうかを確認します。送信元ドメインの信頼性についても評価します。
Received 行の分析
最初の「Received」行:
`from ifmta0001.nifty.com by ibmta0001.nifty.com with ESMTP id 20240313110317879.NWJQ.45700.ifmta0001.nifty.com@nifty.com for xxxxxxxx@xxxxx.nifty.ne.jp; Wed, 13 Mar 2024 20:03:17 +0900`
これはNiftyの内部メールサーバー間での転送を示しています。セキュリティ上の懸念はありません。
二番目の「Received」行:
`from mail0.okwater.tokyo ([45.14.64.248]) by ifmta0001.nifty.com with ESMTP id 20240313110317348.YZIB.43664.mail0.okwater.tokyo@nifty.com for xxxxxxxx@xxxxx.nifty.ne.jp; Wed, 13 Mar 2024 20:03:17 +0900`
IPアドレス`45.14.64.248`は`okwater.tokyo`ドメインから送信されたことを示しています。このIPアドレスの起源を確認します。
SPFとDKIMの結果の解釈
`Authentication-Results: nifty.com; spf=permerror smtp.mailfrom=noreply@okwater.tokyo; sender-id=permerror header.Sender=noreply@okwater.tokyo; dkim=pass header.i=noreply@okwater.tokyo; dkim-adsp=none header.from=nike@notifications.nike.com`
SPF(Sender Policy Framework): `permerror`はSPFレコードが不正または問題があることを示しており、信頼性の低下につながります。
DKIM(DomainKeys Identified Mail): `pass`はDKIM署名が有効であることを示しており、メールの改ざんがないことを意味します。ただし、`header.from`が`nike@notifications.nike.com`であるにも関わらず、`i=noreply@okwater.tokyo`で署名されていることが矛盾しています。
送信元ドメインの信頼性評価
送信元ドメイン`okwater.tokyo`と、Fromに記載された`nike@notifications.nike.com`が一致しない点は詐欺メールの可能性を示唆しています。
DKIMの結果はメールが改ざんされていないことを示していますが、SPFの`permerror`はドメインの設定ミスまたは意図的な偽装の可能性を示唆しています。
IPアドレス`45.14.64.248`の起源
このIPアドレスの起源を確認するために、一般的に利用可能なIPアドレス検索ツールを使用します。
次に、この分析を行います。
IPアドレス`45.14.64.248`はパブリックIPアドレスであり、プライベートなネットワーク内には存在しません。これはインターネット上で一意に識別可能なアドレスであり、特定のISPや組織に割り当てられている可能性があります。ただし、このセッションでは外部のデータベースにアクセスして具体的な地理的位置や組織を特定することはできません。
結論とセキュリティ上の懸念
**SPFの`permerror`**は、`okwater.tokyo`ドメインのSPFレコードに問題があることを示しています。これは送信元の正当性を検証する上で重要な指標であり、このエラーはセキュリティ上の懸念となります。
**DKIMの`pass`**はメールの改ざんがないことを示していますが、`From`フィールドのドメインと`DKIM-Signature`で使用されるドメインが異なることから、詐欺メールである可能性が高いです。
送信元ドメイン`okwater.tokyo`とメールヘッダー内の情報が一致しない点は、フィッシングや詐欺の試みである可能性を示唆しています。特に、`From`フィールドに表示されるドメインが`notifications.nike.com`であるにもかかわらず、実際の送信元が異なる点は重要な警告サインです。
このメールは受信者にとってセキュリティ上のリスクを持つ可能性があり、特にリンクをクリックしたり、個人情報を提供したりする前に慎重に検討する必要があります。
IPアドレスの場所はここ。
画像にはIPアドレス`45.14.64.248`に関する情報が表示されているようです。ホスト名は`45.14.64.248.static.xtom.com`とされており、このIPアドレスは日本の東京に位置していると記されています。緯度経度情報は東京の特定の位置を指しています。
この情報に基づき、このIPアドレスは東京にあるサーバーに関連していると考えられます。しかし、これがメールの正当性を保証するものではありません。前述したように、SPFレコードの`permerror`とFromフィールドのドメイン不一致は、このメールが信頼できない可能性があるという他の指標と矛盾しません。フィッシングや詐欺を意図したメールは、合法的に見えるサーバーやIPアドレスを利用することがあります。
このIPアドレスの情報はメールの調査において参考になりますが、メールが不正である他の兆候にも注意深く検討するべきです。特に、メールの内容、文脈、そして送信元とされる組織の公式情報と照らし合わせて考えることが重要です。
テキスト部分はこれ。
「【Mastercard】利用いただき、ありがとうございます。
このたび、ご本人様のご利 用かどうかを確 認させていただきたいお取 引がありましたので、誠に勝手ながら、カードのご利 用を一部制 限させていただき、ご連 絡させていただきました。
つきましては、以下ヘアクセスの上、カードのご利 用確 認にご協力をお願い致します。お客様にはご 迷 惑、ご心配をお掛けし、誠に申し訳ございません。何卒ご理解いただきたくお願い申しあげます。ご回答をいただけない場合、カードのご利 用制 限が継続されることもございますので、予めご了承下さい。
▼ご利用確認はこちら
https://sizhangchen.com
ご不便とご心配をおかけしまして誠に申し訳ございませんが、何とぞご理 解 賜りたくお願い申しあげます。
発行者
Mastercard
東京都渋谷区桜丘町26-1 セルリアンタワー16階
すべてのユーザーは、このWebサイトの顧客のプライバシー利用規約を承認および同意したものと見なされます。
©1994-2024 Mastercard. Mastercardは、機会均等雇用主として企業活動を行っています。」
提供されたテキストと先ほどのメールヘッダーの情報を総合すると、複数の点で警戒が必要です。
メールの内容:
このメールはMastercardの名を騙った可能性が高いです。本文中のURLは実際のMastercardの公式サイトではなく、`https://sizhangchen.com`という全く異なるドメインにリダイレクトされています。これは一般的なフィッシング詐欺の手口で、個人情報やクレジットカード情報を盗み取ることを目的としています。
IPアドレスの地理的位置:
アップロードされたスクリーンショットによると、IPアドレス`45.14.64.248`は日本の東京に位置しているとされています。しかし、このIPアドレスが`okwater.tokyo`ドメインから送信されたメールに使用されており、実際にはマスターカード関連の取引とは無関係である可能性があります。
ヘッダー内の不一致:
メールの`From`フィールドには`マスターカード nike@notifications.nike.com`と記載されていますが、これは一般的なメールアドレスではありませんし、マスターカードからの公式の通知で使用されるドメインとも異なります。この不一致は詐欺の一般的な兆候です。
SPFとDKIMの結果:
先ほどの分析で、SPF結果は`permerror`となっており、ドメインの設定ミスや意図的な偽装の可能性を示唆しています。DKIMはパスしていましたが、FromフィールドのドメインとDKIMで署名されたドメインが異なる点は疑問を投げかけます。
結論
セキュリティ上の懸念: このメールは高い確率でフィッシング詐欺を目的としたものであり、受信者はリンクをクリックしないようにするべきです。
送信元ドメインの信頼性: `okwater.tokyo`というドメインから送信されたメールには、マスターカードからの正式な通知とは異なる様々な警告サインがあります。
対処方法: 受信者はこのメールに応答せず、信頼できる方法(例えば、カードの背面に記載された電話番号を使用するなど)で直接カード発行会社に連絡して状況を確認すべきです。
最終的に、このメールは信頼できないと判断され、個人情報や金融情報の保護のために無視するのが最善です。
総務省に転送して、お終いにする。サンクス。
総務省にメールを転送するのは良い判断です。フィッシングや詐欺の疑いがあるメールは、適切な機関に報告することで、将来的に他の人々が同様の詐欺に遭うのを防ぐ助けになります。総務省は通信に関連する問題を扱う機関なので、適切な対応を行うでしょう。
報告の際は、メールの全文とヘッダー情報を添付することを忘れないでください。これにより、総務省は事件の調査をより効果的に行うことができます。
お手伝いできて良かったです。また何かありましたらお知らせください。安全でいてくださいね。
この記事が気に入ったらサポートをしてみませんか?