見出し画像

20240409-B(Nifty セキュリティ部門・メールボックスクォータの制限を超えました - xxxxxxxx:フィッシングメール)

提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの起源を特定してください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。因みに、niftyのメールサーバーのホスト名とIPアドレスは、これです。
・IPアドレス:106.73.193.32
・ホスト名:M106073193032.v4.enabler.ne.jp
「Return-Path:
info@s-video.co.jp
Received:
from ifmta1009.nifty.com
by ibmta1009.nifty.com
with ESMTP
id 20240409045101243.QBMK.91938.ifmta1009.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Tue, 9 Apr 2024 13:51:01 +0900
Received:
from mta-fwd-e05.mail.nifty.com([106.153.226.53])
by ifmta1009.nifty.com
with ESMTP
id 20240409045101138.VHRU.85289.mta-fwd-e05.mail.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Tue, 9 Apr 2024 13:51:01 +0900
Received:
from ibmta0015.nifty.com
by mta-fwd-e05.mail.nifty.com
with ESMTP
id 20240409045100987.IISF.83412.ibmta0015.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Tue, 9 Apr 2024 13:51:00 +0900
Received:
from ifmta0015.nifty.com
by ibmta0015.nifty.com
with ESMTP
id 20240409045100967.EFPZ.83154.ifmta0015.nifty.com@nifty.com
for xxxxxxxx@nifty.ne.jp;
Tue, 9 Apr 2024 13:51:00 +0900
Received:
from mta.ak107.secure.ne.jp([150.60.159.8])
by ifmta0015.nifty.com
with ESMTP
id 20240409045100897.TTWN.77623.mta.ak107.secure.ne.jp@nifty.com
for xxxxxxxx@nifty.ne.jp;
Tue, 9 Apr 2024 13:51:00 +0900
Received:
from ak107.secure.ne.jp (localhost [127.0.0.1])
by mta.ak107.secure.ne.jp (Postfix)
with SMTP
id 213B5596ECB
for xxxxxxxx@nifty.ne.jp;
Tue, 9 Apr 2024 13:50:32 +0900 (JST)
Received:
(qmail 42833 invoked from network);
9 Apr 2024 13:50:29 +0900
Received:
from unknown (HELO ?127.0.0.1?) (admin@japancreate.net@52.192.116.11)
by 0
with SMTP;
9 Apr 2024 13:50:29 +0900
Authentication-Results:
nifty.com; spf=fail smtp.mailfrom=info@s-video.co.jp; sender-id=fail header.From=info@s-video.co.jp;
dkim=none;
dkim-adsp=none header.from=info@s-video.co.jp
Content-Type:
text/html; charset=utf-8
X-Ms-Exchange-Organization-Messagedirectionality:
Originating
X-Ms-Exchange-Organization-Authas:
Internal
X-Ms-Exchange-Organization-Authmechanism:
02
X-Ms-Exchange-Organization-Authsource:
MWHPR22MB0014.namprd22.prod.outlook.com
X-Ms-Exchange-Organization-Network-Message-ID:
ffe8bf42-c85a-42c8-a084-08d75b722819
X-Ma4-Node:
false
From:
Nifty セキュリティ部門 info@s-video.co.jp
To:
xxxxxxxx@nifty.ne.jp
Subject:
メールボックスクォータの制限を超えました - xxxxxxxx
Message-ID:
4ee1c854-f22e-a895-54d5-9985cb7965f2@s-video.co.jp
Content-Transfer-Encoding:
quoted-printable
Date:
Tue, 09 Apr 2024 04:50:29 +0000
MIME-Version:
1.0」

このメールヘッダーの分析から、メールが複数のサーバーを経由して転送され、最終的に指定された受信者に届いたことがわかります。分析には、各「Received」行のIPアドレスの起源の特定、SPFとDKIMの結果の解釈、送信元ドメインの信頼性の評価が含まれます。

IPアドレスの起源

  1. 52.192.116.11 - このIPはAmazon Web Servicesに属している可能性が高く、`admin@japancreate.net`からのメールを示しています。

  2. 150.60.159.8 - このIPは「mta.ak107.secure.ne.jp」と関連しており、日本のISPまたはホスティングサービスに属している可能性があります。

  3. 106.153.226.53 - このIPは「mta-fwd-e05.mail.nifty.com」と関連しており、Niftyのメールサーバーである可能性があります。

  4. 127.0.0.1 (localhost) - これは内部サーバーを指し、外部からの直接的な起源特定は不可能です。

SPFとDKIMの結果

  • SPF: `fail` - これは、送信元ドメイン`info@s-video.co.jp`がこのメールを送信する権限がないことを示します。これはフィッシング詐欺やスパムの可能性を示唆しています。

  • DKIM: `none` - DKIM署名がないことを意味します。これはメールの真正性を保証するものではなく、セキュリティ上の懸念事項となり得ます。

送信元ドメインの信頼性

  • ドメイン: `s-video.co.jp` - SPFの結果が`fail`であり、DKIM署名がないため、このドメインからのメールは信頼性が低いと考えられます。また、メールの内容が「メールボックスクォータの制限を超えました」という警告でありながら、送信元がNiftyのセキュリティ部門を名乗っている点も疑問です。

セキュリティ上の懸念

  • SPFとDKIMのチェックが失敗または存在しないことから、このメールは信頼性が低く、フィッシング詐欺またはスパムメールである可能性が高いです。受信者は、メールの指示に従う前に、メールの真正性を他の方法で確認することが推奨されます。

総合評価

このメールは、複数の警告サインを示しています。SPFの失敗、DKIMの欠如、および信頼性の低い送信元ドメインは、受信者がこのメールに慎重に対処する必要があることを示唆しています。特に、個人情報の提供やリンクのクリックは避け、必要に応じて公式の連絡手段を通じて確認することが重要です。

◆IPアドレスの場所はここ。

提供されたスクリーンショットに基づいて、メールの各`Received`行に記載されたIPアドレスが日本に位置していることを確認しました。ここから、以下のことが分かります。

  1. 52.192.116.11 - Amazon Web Servicesの範囲にあるIPで、東京に位置しています。

  2. 150.60.159.8 - `ak107.secure.ne.jp`と関連しており、これも東京に位置しています。

  3. 106.153.226.53 - `mta-fwd-e05.mail.nifty.com`と関連しており、東京に位置しています。

これらの情報は、メールが日本国内のサーバーを経由して送信されたことを示しています。ただし、SPFレコードのチェック結果が`fail`であり、DKIMの署名が`none`であるため、メールの信頼性は依然として低いと考えられます。これはメールが正当なサーバー経由で送られているとしても、元の送信元が正当なものでない可能性を示唆しています。

IPアドレスの位置情報は、メールの転送経路を追跡するために役立ちますが、SPFとDKIMのチェック結果と組み合わせて、メールの真正性を全体的に評価する必要があります。このケースでは、受信者は慎重に行動し、疑わしいメールに対しては公式の連絡先や手段を通じて確認するべきです。

◆html記述はこれ。ブラウザ画面はこれ。分析して。
「<p style="font-size: 21px; font-family: 'Segoe UI Light','Segoe UI Light','Segoe UI',Tahoma,Arial,sans-serif,serif,EmojiFont; white-space: normal; word-spacing: 0px; text-transform: none; font-weight: 400; color: #333333; font-style: normal; orphans: 2; widows: 2; letter-spacing: normal; background-color: #f8f8f8; text-indent: 0px;"><span style="font-size: small;"><strong>注意 : xxxxxxxx@nifty.ne.jp</strong><br /> <br /> <strong>メールボックスのサイズがクォータ制限に達しました<br /> <br /> クォータを超えないように、ログインしてクォータを更新してください</strong></span><br /> <br /> &nbsp;</p> <table id="E1l" class="WYSIWYG_EDITOR_TABLE_IDM_SHOWZEROBORDERATDESIGNTIME" style="border-spacing: 0;" border="0" cellspacing="0" cellpadding="0"> <tbody> <tr valign="top"> <td id="E1n" align="left" bgcolor="#003d8f" width="30" height="36">&nbsp;</td> <td id="E1o" style="font-size: 13px; background-color: #003d8f;" align="center" valign="middle" bgcolor="#003d8f"> <table id="E1j" class="WYSIWYG_EDITOR_TABLE_IDM_SHOWZEROBORDERATDESIGNTIME" border="0" cellspacing="0" cellpadding="0"> <tbody> <tr> <td id="E1j-cell" style="height: 7px; width: 1px; line-height: 7px;" width="1" height="7">&nbsp;</td> </tr> </tbody> </table> <span id="E1o-f" style="font-size: 13px; font-family: 'Open Sans',Arial,sans-serif; font-weight: normal; color: #50575b;"><a id="E1i" style="font-size: 16px; text-decoration: none; font-weight: bold; color: #ffffff; line-height: 22px;" href="https://2n8w.app.link/?~channel=Email&~feature=ConfirmationEmail--BenerailETicket&~campaign=WebToApp&~tags=locale%3Dnl_NL&~tags=version%3D1&~tags=marketing_code%3DBSH3675e&$fallback_url=https%3A%2F%2Fcamposdeferias.net%2F_wildcard_%2Fillll%2Fiiilllliiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii*************%2Fasdiiiiiiiiiiiii%2Fxxxx%2F************************************%2Fxxxx%2Fjpwebmail.html#/xxxxxxxx@nifty.ne.jp" target="_blank" rel="noopener noreferrer">メールクォータを更新する</a></span> <table id="E1k" class="WYSIWYG_EDITOR_TABLE_IDM_SHOWZEROBORDERATDESIGNTIME" border="0" cellspacing="0" cellpadding="0"> <tbody> <tr> <td id="E1k-cell" style="height: 7px; width: 1px; line-height: 7px;" width="1" height="7">&nbsp;</td> </tr> </tbody> </table> </td> <td id="E1p" style="height: 36px; width: 30px; min-width: 30px; min-height: 36px; background-color: #003d8f;" align="left" bgcolor="#003d8f" width="30" height="36">&nbsp;</td> </tr> </tbody> </table> <p style="font-size: 21px; font-family: 'Segoe UI Light','Segoe UI Light','Segoe UI',Tahoma,Arial,sans-serif,serif,EmojiFont; white-space: normal; word-spacing: 0px; text-transform: none; font-weight: 400; color: #333333; font-style: normal; orphans: 2; widows: 2; letter-spacing: normal; background-color: #f8f8f8; text-indent: 0px;"><br /> <span style="font-size: small;"><strong>*注意: メールクォータの更新の失敗 : メールを送受信できなくなります<br /> <br /> *これは自動化されたメッセージです返信しないでください**</strong></span></p> <p style="font-size: 21px; font-family: 'Segoe UI Light','Segoe UI Light','Segoe UI',Tahoma,Arial,sans-serif,serif,EmojiFont; white-space: normal; word-spacing: 0px; text-transform: none; font-weight: 400; color: #333333; font-style: normal; orphans: 2; widows: 2; letter-spacing: normal; background-color: #f8f8f8; text-indent: 0px;"><br /> <strong><span style="font-size: small;">宜しくお願いします,<br /> Nifty 管理者</span></strong></p> <p style="font-size: 21px; font-family: 'Segoe UI Light','Segoe UI Light','Segoe UI',Tahoma,Arial,sans-serif,serif,EmojiFont; white-space: normal; word-spacing: 0px; text-transform: none; font-weight: 400; color: #333333; font-style: normal; orphans: 2; widows: 2; letter-spacing: normal; background-color: #f8f8f8; text-indent: 0px;"><strong><span style="font-size: xx-small;">このメールはに送信されました xxxxxxxx@nifty.ne.jp</span></strong></p> 」

メールイメージ

提供されたHTML記述は、フィッシングメールでよく見られるような、ユーザーに何らかの行動を促す内容を含んでいます。HTMLの構造自体は通常のメールと同じように見えますが、いくつかの特徴が怪しいところを示しています。

  1. リンクのURL: `https://2n8w.app.link/` は非常に長く、複雑なクエリパラメータを含んでおり、最終的に `camposdeferias.net` という知られていないドメインにリダイレクトされています。その後、非常に長い不明なパスがあり、さらに `jpwebmail.html` というファイルに繋がっています。これは正規のNiftyサービスのURLパターンとは一致しません。

  2. メール文言: メールには、「クォータ制限に達しました」と警告し、すぐにログインしてクォータを更新するよう促す文言が含まれています。しかし、このような警告は実際にはユーザーを不安にさせ、慌ててリンクをクリックさせるためにフィッシング詐欺によく用いられます。

  3. スタイリングとフォーマット: スタイルは一般的なメール通知と似ていますが、強調された警告やリンク、特定の文言が目立つように設計されている点に注意が必要です。これらはユーザーの注意を引き、急いで行動を促すためのものです。

  4. 送信元の表示: メールの終わりには、「Nifty 管理者」と名乗っていますが、これが実際にNiftyから送られたメールである保証はありません。

総合的に見て、このメールはユーザーに個人情報を入力させるための詐欺の可能性が高いです。もし実際のNiftyユーザーがこのようなメールを受け取った場合は、リンクをクリックする前に、公式のウェブサイトを直接訪問するか、公式のサポートチャンネルを通じて状況を確認するべきです。また、このメールは、SPFチェックに失敗していることからも、信頼性が低いと考えられます。

◆総務省に転送して、お終いにする。サンクス。

了解しました。総務省への報告手続きはユーザー自身で行う必要がありますが、この種のフィッシングメールの報告は、サイバー犯罪の予防に役立ちます。提供された情報とメールの詳細を総務省、またはそれに相当する組織に報告してください。お手数をおかけしますが、インターネット上の安全を守る重要なステップです。どういたしまして、お役に立てて幸いです。また何かありましたらお知らせください。

この記事が気に入ったらサポートをしてみませんか?