見出し画像

20240322-B(【ご注意】三井住友カード顧客サービス※異常によるクレジットカードご利用一時停止のお知らせ※:フィッシングメール)

ヒル

提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの起源を特定してください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。因みに、niftyのメールサーバーのホスト名とIPアドレスは、これです。
・IPアドレス:106.73.193.32
・ホスト名:M106073193032.v4.enabler.ne.jp
「Return-Path:
zrijad@mail.vpass.ne.jp
Received:
from ifmta1014.nifty.com
by ibmta1014.nifty.com
with ESMTP
id 20240321192931375.ZELU.53459.ifmta1014.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Fri, 22 Mar 2024 04:29:31 +0900
Received:
from mail.vpass.ne.jp([193.148.61.96])
by ifmta1014.nifty.com
with ESMTP
id 20240321192931090.PUOB.51459.mail.vpass.ne.jp@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Fri, 22 Mar 2024 04:29:31 +0900
Authentication-Results:
nifty.com; spf=softfail smtp.mailfrom=zrijad@mail.vpass.ne.jp;
sender-id=softfail header.Sender=zrijad@mail.vpass.ne.jp; dkim=none;
dkim-adsp=none header.from=contact@mail.vpass.ne.jp
Sender:
zrijad@mail.vpass.ne.jp
Date:
Thu, 21 Mar 2024 12:29:23 -0800
From:
「Vpass」カード顧客サービス contact@mail.vpass.ne.jp
To:
xxxxxxxx xxxxxxxx@xxxxx.nifty.ne.jp
Subject:
【ご注意】三井住友カード顧客サービス※異常によるクレジットカードご利用一時停止のお知らせ※
X-Priority:
3
X-Has-Attach:
no
X-Mailer:
Foxmail 7, 0, 1, 91[cn]
Mime-Version:
1.0
Message-ID:
202403211229315843277@mail.vpass.ne.jp
Content-Type:
text/html; charset="UTF-8"
Content-Transfer-Encoding:
8bit」

このメールヘッダーの分析を行うことで、メールの転送経路、認証結果、そして送信元ドメインの信頼性に関する重要な情報を把握できます。まずは、「Received」行を調べ、そこに記載された各IPアドレスの起源を特定します。その後、SPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)の結果を解釈し、セキュリティ上の懸念があるかどうかを検証します。最後に、送信元ドメインの信頼性について評価します。

「Received」行の分析

このメールは、2つの「Received」行を持っており、メールの転送経路を示しています。

  1. 最初の転送(外側の送信者):

    • `from mail.vpass.ne.jp([193.148.61.96])`

    • `by ifmta1014.nifty.com`

    • 日時: Fri, 22 Mar 2024 04:29:31 +0900

  2. 最終的な転送(内側の送信者):

    • `from ifmta1014.nifty.com`

    • `by ibmta1014.nifty.com`

    • 日時: Fri, 22 Mar 2024 04:29:31 +0900

各IPアドレスの起源

  • 193.148.61.96の起源を特定する必要があります。

SPFとDKIMの結果の解釈

  • SPFの結果: `softfail`。これは、送信元ドメインが送信IPアドレスからのメール送信を完全には許可していないことを示していますが、それでもメールは受信者に届きます。これは、偽装された可能性があるメールに対する警告として解釈できます。

  • DKIMの結果: `none`。これは、メールにDKIM署名がないことを意味します。DKIMは電子メールの真正性を検証するための手法の一つで、その欠如はセキュリティ上の懸念事項です。

送信元ドメインの信頼性

  • 送信元ドメイン: `mail.vpass.ne.jp`

  • このドメインは、実際に三井住友カードの顧客サービスを名乗っていますが、SPFの`softfail`結果とDKIMの欠如は、送信元の真正性に疑問を投げかけます。

セキュリティ上の懸念

  • SPFの`softfail`とDKIMの`none`結果は、このメールが偽装されている可能性があることを示唆しています。

  • メールの内容が三井住友カード顧客サービスからの重要な通知を装っている点は、フィッシング試みの可能性が高いと考えられます。

行動提案

  • 193.148.61.96に関する詳細情報を取得し、このIPアドレスが信頼できるソースから来ているかどうかを判断します。

  • 送信元ドメインに対して追加の検証を行い、実際に正規のサービスプロバイダに属しているかを確認します。

  • 最終的な判断を下す前に、メールの内容や求められているアクションについて慎重に検討してください。

IPアドレス193.148.61.96の起源を特定するために、一般的に利用可能なツールやデータベースを用いて情報を収集します。しかし、ここではインターネットアクセスが制限されているため、直接的なIPアドレス検索はできません。代わりに、IPアドレスの起源を特定する一般的なプロセスと、その結果がセキュリティ評価にどのように影響するかについてのガイダンスを提供します。

IPアドレスの起源の特定

IPアドレスの起源を特定するためには、通常、以下のステップが含まれます:

  1. IPアドレスの地理的位置情報の取得: このステップでは、IPアドレスが割り当てられている国や地域を確認します。この情報は、送信元が主張している地域と一致するかどうかを判断するのに役立ちます。

  2. WHOIS情報の確認: WHOISデータベースを検索して、IPアドレスの所有者や管理者に関する情報を収集します。これにより、IPアドレスが信頼できる組織に属しているかどうか、または以前に不正行為に関連していたかどうかを把握できます。

  3. ブラックリストの確認: IPアドレスがスパムやマルウェアの配信に関連するブラックリストに載っていないかを確認します。

セキュリティ評価への影響

  • 地理的不一致: IPアドレスの地理的位置情報が送信元ドメインの所在地や業務域と一致しない場合、メールの真正性に関して疑問が生じます。

  • WHOIS情報の問題: IPアドレスの所有者が不明瞭であったり、信頼できない組織に属している場合、または過去に不正行為に関与していたことがある場合、これはセキュリティ上のリスクとなり得ます。

  • ブラックリスト: IPアドレスがブラックリストに載っている場合、それはスパムやフィッシング試みの送信源である可能性が高くなります。

行動提案の再確認

  • メールのリンクや添付ファイルを開く前に、送信元の正当性を別の方法で確認する。

  • 送信元ドメインが正規であるか疑わしい場合は、公式の連絡先情報を通じて直接確認する。

  • 不審なメールは、迷惑メールとして報告し、関連するセキュリティチームに通知する。

この情報を基に、メールの安全性を慎重に評価し、必要なセキュリティ対策を講じてください。

IPアドレスの場所はここ。

提供されたスクリーンショットから、IPアドレス193.148.61.96がアメリカ合衆国ニュージャージー州ニューアークに位置していることが示されています。これは、メールヘッダーで指摘された送信者のドメインvpass.ne.jpが日本のものであるという事実と矛盾しています。この地理的な不一致は、メールが実際の三井住友カード顧客サービスではなく、他の場所から送信された可能性があることを示唆しており、フィッシング試みである可能性が高いです。

さらに、spf=softfailという結果は、送信ドメインのSPFレコードが、このIPアドレスからのメール送信を完全には承認していないことを意味しています。これと、DKIMの検証が「none」となっていることを組み合わせると、このメールが疑わしいと判断する十分な根拠があります。

セキュリティ上の推奨事項:

  • 受信者に対して、メールに記載されているリンクをクリックしたり、メールに返信したりすることなく、公式の連絡先を通じて三井住友カード顧客サービスに直接確認することを勧めます。

  • このメールを疑わしいとしてマークし、セキュリティチームに通知することで、同様の試みに対する警戒を強化することが重要です。

  • この種の疑わしいメールは、今後同様の攻撃を回避するための教育材料として役立てることができます。

html記述はこれ。ブラウザ画面はこれ。分析して。
「<html> <head> <meta content="text/html; charset=utf-8" http-equiv=Content-Type> </head> <body>いつも三井住友カードをご利用いただきありがとうございます。<br><br>インターネット通信の暗号化方式「SSL3.0」および「TLS1.0」「TLS1.1」について、通信の一部が第三者に漏えいする可能性があることが報告されています。<font color=white size=1> a4xiaj21ajsfebo6gmya</font><br><br>このため、当行においてもセキュリティ強化のためSSL3.0、TLS1.0、TLS1.1による通信を無効化いたします。<font color=white size=1> l7jndns</font><br><br>お客さまの三井住友カードにおいて第三者による不正利用の懸念がございましたので、会員規約第3条に基づきカード利用を一時利用停止されました。<font color=white size=1> t4jczt5nhbmm</font><br><br>ご利用環境が本人の確認してからセキュリティ更新後、下記のURLを再開手続きの設定してださい。<br><br>※本メールは、セキュリティ強化のため、下記のURLを再開手続きはこちら↓<font color=white size=1> 9ugtihvrc71i</font><br><br>⇒ <a href="https://szcmbcz.jiegu.net/">Vpass ログイン</a><br><br>■注意事項<font color=white size=1> lknfbtrhiejn</font><br><br>※カードの個人情報によっては電話で連絡する場合もございます。<font color=white size=1> vdognolnc1</font><br>※正確な情報は必ず記入してください。<br><br>■発行者<font color=white size=1> xi20etw5</font><br>三井住友カード株式会社<font color=white size=1> gr9uitmhe</font><br>〒135-0061 東京都江東区豊洲2丁目2番31号 SMBC豊洲ビル<br>&nbsp;<br>お問い合わせはこちら<font color=white size=1> umrjjmrsix</font><br>※このメールは送信専用メールアドレスから配信しております。ご返信いただいてもお答えできませんのでご了承ください。<font color=white size=1> s8sjqosuxaxjgay</font><br>&nbsp;<br>※本メールは重要なお知らせのため、メール配信を「否」にされている方にも送信しております。<font color=white size=1> mf4ag2iwuipvbak</font><br><br><br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 本メールに関する一切の記事の無断転載および再配布を禁じます。<font color=white size=1> knzvmdrs4u9frwx</font><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Copyright (C) Sumitomo Mitsui Card Co., Ltd.<font color=white size=1> 6rvr6ramzroj</font><br> </body> </html> 」

メールイメージ

HTMLコードの内容と形式から、このメールがフィッシング試みである可能性が非常に高いことが分かります。以下の点が特に問題となります:

  1. SSL/TLSの無効化に関する言及:

    • メールはSSL3.0、TLS1.0、TLS1.1の通信を無効化すると述べています。これは、合理的なセキュリティ対策の一環として現実に行われることがあります。しかし、このようなアップデートは、正式な顧客サービスポータルを通じて通常行われ、メール内で直接リンクをクリックさせることはありません。

  2. 見えないテキスト(スパム対策回避のためかもしれない):

    • HTMLには`<font color=white size=1>`タグを使用して白色の文字で非表示にされた多くのテキストが含まれています。これは通常、スパムフィルターを回避するために悪意のある送信者が用いる手法です。

  3. 疑わしいリンク:

    • メールには`https://szcmbcz.jiegu.net/`というURLへのリンクが含まれています。これは一見正当な三井住友カードのウェブサイトのように見えますが、ドメイン自体が疑わしいものです。三井住友カードの公式ウェブサイトとは異なるドメインを使用している点がフィッシング試みの典型的な特徴です。

  4. 三井住友カード株式会社の名を騙る可能性:

    • メールは三井住友カード株式会社からのものであると主張していますが、前述の要因により、このメールが同社からの正式な通信であるかどうか疑わしい状況です。

  5. 個人情報の要請:

    • メール内で個人情報の正確な入力を要求している点も、フィッシング試みである可能性を示唆しています。

  6. 送信専用メールアドレスからの通知:

    • 「送信専用メールアドレス」からの通知は、正当な企業からのものである可能性もありますが、受信者が返信を試みても問い合わせに応じられないという点は、警戒を要する点です。

セキュリティ上の推奨事項

  • リンクをクリックする前に、正式な顧客サービスポータルを通じて、または公式の連絡先を使ってカード会社に直接問い合わせて確認する。

  • 疑わしいメールは、迷惑メールとして報告し、カード会社のセキュリティチームに通知する。

  • 個人情報をメールで送信することは避ける。

フィッシングは個人情報を盗み取るための詐欺行為であるため、このようなメールには十分注意が必要です。

総務省に転送して、お終いにする。サンクス。

了解しました。フィッシングの疑いがあるメールは、速やかに関連する公的機関に報告することが重要です。日本では総務省や消費者庁、警察庁などに情報を提供することができます。特に総務省は、不正な通信に関する報告を受け付けています。メールの全文、ヘッダ情報、そしてその他の関連情報を含めて報告してください。これにより、他の人々が同様の詐欺に遭遇するのを防ぐ手助けになります。

こちらこそ、お手伝いできて光栄です。必要な対応が迅速に行われることを願っています。また何かお手伝いできることがあれば、いつでもお知らせください。お疲れ様でした。

この記事が気に入ったらサポートをしてみませんか?