20240305-A(GMOあおぞらネット銀行からのお知らせ(お振り込み手続きの制限について):フィッシングメール)
提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの起源を特定してください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。IPアドレスの起源の特定は、私がやります。
「Return-Path:
Nicolette-xxxxxxxx@ross-agency.laketune.com
Received:
from ifmta0005.nifty.com
by ibmta0005.nifty.com
with ESMTP
id 20240305055301967.GVHA.49139.ifmta0005.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Tue, 5 Mar 2024 14:53:01 +0900
Received:
from tmta1016.nifty.com([106.153.227.49])
by ifmta0005.nifty.com
with ESMTP
id 20240305055301716.VHPG.47203.tmta1016.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Tue, 5 Mar 2024 14:53:01 +0900
Received:
from ibmta1016.nifty.com
by tmta1016.nifty.com
with ESMTP
id 20240305055301515.KBQI.74492.ibmta1016.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Tue, 5 Mar 2024 14:53:01 +0900
Received:
from ifmta1016.nifty.com
by ibmta1016.nifty.com
with ESMTP
id 20240305055301465.XZMF.44554.ifmta1016.nifty.com@nifty.com
for xxxxxxxx@nifty.ne.jp;
Tue, 5 Mar 2024 14:53:01 +0900
Received:
from ross-agency.laketune.com([42.240.144.160])
by ifmta1016.nifty.com
with ESMTP
id 20240305055258567.RNIS.42339.ross-agency.laketune.com@nifty.com
for xxxxxxxx@nifty.ne.jp;
Tue, 5 Mar 2024 14:52:58 +0900
Received:
from 10-13-32-23 (10.13.32.23)
by ross-agency.laketune.com
id hsqpjk0001go
for xxxxxxxx@nifty.ne.jp;
Tue, 5 Mar 2024 13:45:19 +0800 (envelope-from Nicolette-xxxxxxxx@ross-agency.laketune.com)
Authentication-Results:
nifty.com; spf=none smtp.mailfrom=Nicolette-xxxxxxxx@ross-agency.laketune.com;
sender-id=none header.From=Nicolette-xxxxxxxx@ross-agency.laketune.com;
dkim=neutral reason="no\ key\ for\ signature" header.i=@ross-agency.laketune.com;
dkim-adsp=none header.from=Nicolette-xxxxxxxx@ross-agency.laketune.com
DKIM-Signature:
v=1; a=rsa-sha1; c=relaxed/relaxed; s=mykey; d=ross-agency.laketune.com;
h=Date:To:From:Subject:Message-ID:MIME-Version:Content-Type; bh=jeNlu0a/unKJycT4t10CyZUwEmc=;
b=IIiTdQeaNWvthW7ah1yLq3ixvPC7AxPLCOJcEqWVoYIKZzxieSjxONhxvb96rUXMzeGzf5J83HBZ itvZnqInbhL6MdxQyOfvcPhv+W7GbrAYNzgwu+qpZvXNXFRvUqgWcWoUHbVGlxB6+WU+yRIP008k LW10mS5Ffpp2yggTmxY=
Date:
Tue, 5 Mar 2024 13:45:19 +0800
To:
xxxxxxxx@nifty.ne.jp
From:
GMOあおぞらネット銀行 Nicolette-xxxxxxxx@ross-agency.laketune.com
Subject:
GMOあおぞらネット銀行からのお知らせ(お振り込み手続きの制限について)
Message-ID:
20854f3c5ac1eb3c3dd91d0d9444005b@10-13-32-23
MIME-Version:
1.0
Content-Type:
multipart/alternative; boundary="b1_20854f3c5ac1eb3c3dd91d0d9444005b"」
このメールヘッダーの詳細な分析を行うには、まず各「Received」行から始めてIPアドレスの起源を特定します。その後、SPFとDKIMの結果を解釈し、セキュリティ上の懸念点があるかどうか、そして送信元ドメインの信頼性について評価します。
Received行の分析
1. ross-agency.laketune.comからの受信
IPアドレス: 42.240.144.160
送信元: 10-13-32-23 (プライベートIP)
ホスト名: ross-agency.laketune.com
日時: Tue, 5 Mar 2024 13:45:19 +0800
2. ifmta1016.nifty.comからの受信
IPアドレス: 42.240.144.160
ホスト名: ifmta1016.nifty.com
日時: Tue, 5 Mar 2024 14:52:58 +0900
3. その他のnifty.com関連の受信
IPアドレス: 106.153.227.49 (tmta1016.nifty.comからの転送を含む)
ホスト名: ifmta0005.nifty.com, ibmta1016.nifty.com, tmta1016.nifty.com
日時: Tue, 5 Mar 2024 14:53:01 +0900
SPFとDKIMの結果の解釈
SPF: `none`。これは、送信元ドメインross-agency.laketune.comがSPFレコードを持たない、またはレコードが適切に設定されていないことを意味します。受信サーバは、送信元IPアドレスが送信元ドメインの正当な送信サーバであるかどうかを確認できません。
DKIM: `neutral`。これは、DKIM署名が存在するものの、検証用の公開鍵が見つからなかったことを意味します。つまり、メッセージの真正性や改ざんされていないことを保証できません。
セキュリティ上の懸念点
SPFレコードとDKIM設定が不十分であることは、フィッシングやスプーフィング攻撃に対する脆弱性を示しています。これにより、攻撃者が詐欺的な目的でこのドメインを偽装することが容易になります。
メールがプライベートIPアドレスから始まり、その後外部ドメインによって転送されていることは、メールが内部ネットワークから送信された可能性があることを示しています。これは、組織内部のシステムまたは不正アクセスされたデバイスからの送信である可能性があります。
送信元ドメインの信頼性評価
送信元ドメイン「ross-agency.laketune.com」は、SPFとDKIMの設定が不十分であり、セキュリティ上のリスクが存在します。このような設定の不備は、ドメインの信頼性を低下させる要因となります。
また、メールの内容が「GMOあおぞらネット銀行」を偽装している可能性があり、特に金融機関を装ったフィッシング試みである可能性が高いです。これは、個人情報の窃盗
や詐欺に利用される典型的な手法です。
結論
このメールは、複数のセキュリティ上の警告信号を示しています。SPFとDKIMの不十分な設定、および送信元ドメインの信頼性の欠如は、慎重に扱う必要があります。受信者は、このメールに対する任意のアクションを取る前に、送信元の正当性を確認することが推奨されます。
IPアドレスの場所はここ。
画像によると、メールヘッダーで言及された2つのIPアドレスの位置情報は次の通りです:
IPアドレス `42.240.144.160` は中国に位置しています。
IPアドレス `106.153.227.49` は日本に位置しています。
この情報は、メールがどの経路をたどって送信されたか、そして送信元の地理的な場所を示すものです。メールの送信経路が異なる国を経由している場合、それはスパムやフィッシングメールの可能性を示唆している場合があります。しかし、正当なメールが複数の国を経由して送信されることもあります。これは、送信者のメールサーバーの設定や、受信者のメールサーバーがメールをどのように処理するかによるものです。
中国に位置するIPアドレスから送信されたメールが、特に金融機関を装って送られてきた場合は、さらに疑念を抱かせます。これは、メールがフィッシング詐欺である可能性を示す一つの指標となります。それに加えて、SPFとDKIMの検証結果が不十分であることは、メールの信頼性に疑問を投げかけるものです。
そのため、このメールは慎重に扱う必要があり、特に銀行の情報を装っていることを考慮すれば、リンクをクリックしたり、個人情報を提供する前に、正当な銀行の連絡先を通じて確認することが推奨されます。
テキスト部分はこれ。
「いつもGMOあおぞらネット銀行をご利用いただき、ありがとうございます。
お客さまのWEBサイトのご利用につきまして、パスワード等の入力相違が続きましたので、2024年03月05日に当社サイトのご利用(WEB、スマートフォン共通)を一時制限させていただきました。
お客さまにはお手数をおかけいたしますが、何卒ご理解とご協力をお願い申しあげます。本人確認後、制限を解除することができます。
◆本人確認をご希望の方は、以下のボタンをクリックしてご本人様確認を行ってください。
本人確認
※回答が完了しますと、通常どおりログイン後のお手続きが可能になります。
※一定期間ご確認いただけない場合、口座取引を制限させていただきます。
<GMOあおぞらネット銀行
カスタマーセンター>0120-579-835(携帯電話・IP電話からは、03-6387-3213) 受付時間
平日9:00~16:00(キャッシュカード紛失盗難、不正利用に関しては24時間365日受付) ※03-6387-3213の通話料はお客さまのご負担となります。
※写真はイメージです。
※各イベント内容については、予告なく変更となる場合がございます。
※宿泊料金はご予約日により異なる場合がございます。
※宿泊料金には、サービス料・消費税が含まれております。
■会員情報変更はこちら
■配信停止はこちら
※マイページ(会員Webサービス)にログイン後、【お客さま情報確認・変更】画面にてお手続きをお願いいたします。
※マイページ(会員Webサービス)をご利用いただくには、ログインパスワードのご登録が必要です。
※このメールは送信専用です。ご返信いただけませんのでご了承ください。
《発行元》株式会社lyyfzvjeb1nu東京都豊島区lyyfzvjeb1nu丁目lyyfzvjeb1nu《お問合せ》lyyfzvjeb1nuーツ
Copyright
(c) SEIBU PRlyyfzvjeb1nuINCE HOTELS WORLDWIDE INC.All rights reserved.」
提供されたテキストは、おそらくホテルのプロモーションや会員情報に関するメールの一部のようです。その内容を分析すると、以下のようなポイントが挙げられます。
写真はイメージであり、実際のイベントや施設の状況とは異なる可能性があることが示されています。
イベント内容や宿泊料金については、予告なく変更される場合があるとされています。これは、計画を立てる際に柔軟性を持つことが大切であることを意味します。
宿泊料金にはサービス料と消費税が含まれているとのことです。顧客が別途料金を支払う必要がないことが明示されています。
会員情報の変更や配信停止のリンクが提供されており、それらはマイページからログインして行う必要があると説明されています。
マイページの利用にはログインパスワードの登録が必要であることが述べられています。
このメールは送信専用であるため、返信することはできないとの注意書きがあります。
メールの発行元が株式会社lyyfzvjeb1nuで、連絡先や所在地もlyyfzvjeb1nuと記載されていますが、これはおそらくダミーの情報であると推測されます。
また、最後の部分に「Copyright (c) SEIBU PRlyyfzvjeb1nuINCE HOTELS WORLDWIDE INC.All rights reserved.」とありますが、これは西武プリンスホテルズワールドワイド株式会社の著作権表示のようです。ただし、その中に「lyyfzvjeb1nu」という部分が挿入されており、これが誤りであるか意図的なものであるかは不明です。
重要なのは、特にメールの発行元や連絡先が不明瞭な情報で記載されている場合、そのメールの信頼性に疑問を持つ必要があります。メールに含まれるリンクや指示に従う前に、その情報の正確性を別の信頼できる手段で確認することが重要です。
html記述はこれ。ブラウザ画面はこれ。分析して。
「<html>
<head>
<meta content="text/html; charset=utf-8" http-equiv=Content-Type>
</head>
<body>
<p>いつもGMOあおぞらネット銀行をご利用いただき、ありがとうございます。</p>
<p>お客さまのWEBサイトのご利用につきまして、パスワード等の入力相違が続きましたので、2024年03月05日に当社サイトのご利用(WEB、スマートフォン共通)を一時制限させていただきました。</p>
<p>お客さまにはお手数をおかけいたしますが、何卒ご理解とご協力をお願い申しあげます。<br>本人確認後、制限を解除することができます。</p>
<p>◆本人確認をご希望の方は、以下のボタンをクリックしてご本人様確認を行ってください。</p>
<p><a href="https://nienpldxspqsyfive.com∕nienpldxspqsyfive∕nienpldxspqsyfive∕nienpldxspqsyfive@marriage-relate-4426.hlni6zme9.workers.dev/">本人確認</a></p>
<p>※回答が完了しますと、通常どおりログイン後のお手続きが可能になります。</p>
<p>※一定期間ご確認いただけない場合、口座取引を制限させていただきます。</p>
<p><GMOあおぞらネット銀行
カスタマーセンター><br>0120-579-835(携帯電話・IP電話からは、03-6387-3213)<br> 受付時間
平日9:00~16:00(キャッシュカード紛失盗難、不正利用に関しては24時間365日受付)<br> ※03-6387-3213の通話料はお客さまのご負担となります。</p>
<p> </p>
</body>
</html>
<pre>
</pre>
<div style="box-sizing:border-box;background:rgb(255,255,255);padding-bottom:16px;text-align:left;padding-top:16px;padding-left:16px;padding-right:16px;">
<ul style="list-style-type:none;font-size:11px;font-weight:300;padding-bottom:0px;font-style:normal;padding-top:0px;padding-left:0px;margin:12px 0px 0px;line-height:16px;padding-right:0px;">
<li style="font-size:11px;font-weight:300;padding-bottom:0px;font-style:normal;padding-top:0px;padding-left:0px;margin:0px;line-height:16px;padding-right:0px;">※写真はイメージです。
<li style="font-size:11px;font-weight:300;padding-bottom:0px;font-style:normal;padding-top:0px;padding-left:0px;margin:0px;line-height:16px;padding-right:0px;">※各イベント内容については、予告なく変更となる場合がございます。
<li style="font-size:11px;font-weight:300;padding-bottom:0px;font-style:normal;padding-top:0px;padding-left:0px;margin:0px;line-height:16px;padding-right:0px;">※宿泊料金はご予約日により異なる場合がございます。
<li style="font-size:11px;font-weight:300;padding-bottom:0px;font-style:normal;padding-top:0px;padding-left:0px;margin:0px;line-height:16px;padding-right:0px;">※宿泊料金には、サービス料・消費税が含まれております。
</li></ul>
<p style="font-size:11px;font-weight:300;padding-bottom:0px;font-style:normal;padding-top:0px;padding-left:0px;margin:12px 0px 0px;line-height:16px;padding-right:0px;"><a style="color:rgb(88,87,87);" href="https://evxv5nxo599pbndjmy43.jp/?qs=d9dc0f13f45ed78258f0c5f616c2bc42638274879a3eb7f1966664fe62a988fe0d8e6701dbb499b95fccdc0ecc63a349a2c2899f0c48395f5f2846136d6de05b" target=_blank>■会員情報変更はこちら</a></p>
<p style="font-size:11px;font-weight:300;padding-bottom:0px;font-style:normal;padding-top:0px;padding-left:0px;margin:0px;line-height:16px;padding-right:0px;"><a style="color:rgb(88,87,87);" href="https://evxv5nxo599pbndjmy43.jp/?qs=d9dc0f13f45ed782e92d83e5d451696f5d96f3973752f6b4d50afc7da1a22ccb8296b2b5f9b3640d0e777de4763c938d59c428929311a96c823891b6ab5ea053" target=_blank>■配信停止はこちら</a></p>
<ul style="list-style-type:none;font-size:11px;font-weight:300;padding-bottom:0px;font-style:normal;padding-top:0px;padding-left:0px;margin:12px 0px 0px;line-height:16px;padding-right:0px;">
<li style="font-size:11px;font-weight:300;padding-bottom:0px;font-style:normal;padding-top:0px;padding-left:0px;margin:0px;line-height:16px;padding-right:0px;">※マイページ(会員Webサービス)にログイン後、【お客さま情報確認・変更】画面にてお手続きをお願いいたします。
<li style="font-size:11px;font-weight:300;padding-bottom:0px;font-style:normal;padding-top:0px;padding-left:0px;margin:0px;line-height:16px;padding-right:0px;">※マイページ(会員Webサービス)をご利用いただくには、ログインパスワードのご登録が必要です。
<li style="font-size:11px;font-weight:300;padding-bottom:0px;font-style:normal;padding-top:0px;padding-left:0px;margin:0px;line-height:16px;padding-right:0px;">※このメールは送信専用です。ご返信いただけませんのでご了承ください。
</li></ul>
<p style="font-size:11px;font-weight:300;padding-bottom:0px;font-style:normal;padding-top:0px;padding-left:0px;margin:12px 0px 0px;line-height:16px;padding-right:0px;">《発行元》<br>株式会社evxv5nxo599pbndjmy43<br>東京都豊島区evxv5nxo599pbndjmy43丁目evxv5nxo599pbndjmy43<br><br>《お問合せ》<br><a style="color:rgb(88,87,87);" href="https://evxv5nxo599pbndjmy43.jp/?qs=d9dc0f13f45ed78244ab4abd0f22db794ee75d2827cbb8a434d6f71478f0af46edbd64b1b97d73326376c883efb32c189463e29c78c34a88727b6f184c7cc998" target=_blank>evxv5nxo599pbndjmy43ーツ</a></p></div><a style="margin:0px 20px 0px 0px;" href="https://evxv5nxo599pbndjmy43.jp/?qs=d9dc0f13f45ed7824a6d132f412277858fbeccd7b5857a4df1903a48225a235a3655b216d34bb1f60742f3a00aae284e93ae2dc50d8802c537febb101f0f4e4c" target=_blank><img style="height:24px;width:24px;margin:0px;display:inline-block;" src="https://www.princehotels.co.jp/mailmagazine/spc/20231225/images/icon_instagram.min.png" width=24 height=24></a> <a style="margin:0px 20px 0px 0px;" href="https://evxv5nxo599pbndjmy43.jp/?qs=d9dc0f13f45ed7823cb7a8258b847e5984d243f3139d3f575e76ec67196a4eea540a98e21f3866cf6cd2a6ce8fd6f0e18fef12ad45b893da7d5b41635fcea0a6" target=_blank><img style="height:24px;width:24px;margin:0px;display:inline-block;" src="https://www.princehotels.co.jp/mailmagazine/spc/20231225/images/icon_tw.min.jpg" width=24 height=24></a> <a style="margin:0px 20px 0px 0px;" href="https://evxv5nxo599pbndjmy43.jp/?qs=d9dc0f13f45ed782927a852a0b770cd0bedb845f60f19f99d7eb7f0bd27669482e0810045ece47f3a4cbdaa94012e8dfa41a83cf5b05318079aeaa40c8dcd113" target=_blank><img style="height:24px;width:24px;margin:0px;display:inline-block;" src="https://www.princehotels.co.jp/mailmagazine/spc/20231225/images/icon_facebook.min.png" width=24 height=24></a> <a href="https://evxv5nxo599pbndjmy43.jp/?qs=d9dc0f13f45ed78278901365d2aae10005a5cdf71d9c7c2a0c16a0ebfcae3636e16f0c072d5d06fba19c4d021bf45c9484e8c5a013fb594294598af05bca5e5c" target=_blank><img style="height:24px;width:24px;margin:0px;display:inline-block;" src="https://www.princehotels.co.jp/mailmagazine/spc/20231225/images/icon_youtube.min.png" width=24 height=24></a><br>
<p style="font-size:12px;font-weight:400;padding-bottom:0px;font-style:normal;text-align:center;padding-top:0px;padding-left:0px;margin:24px 0px 0px;line-height:136%;padding-right:0px;">Copyright
(c) SEIBU PRevxv5nxo599pbndjmy43INCE HOTELS WORLDWIDE INC.<br>All rights reserved.</p>
<center></center><br><br>
</body>
</html>
」
このHTMLメールの内容にはいくつかの警告サインがあり、フィッシング詐欺の可能性を示唆しています。以下に具体的な分析を行います。
偽のドメイン名: メール内のリンクに含まれているドメイン名は、正規の金融機関のドメイン名とは異なります。例えば、「nienpldxspqsyfive.com」や「hlni6zme9.workers.dev」は、一見して怪しいと感じるものです。これらのドメインは一般的な企業や金融機関で使用されるものとは異なり、フィッシングサイトの可能性が高いです。
緊急性を促す文言: ユーザーのアクションを急がせるために、「一定期間ご確認いただけない場合、口座取引を制限させていただきます」との文言が使用されています。フィッシングメールはしばしばこのような手法を使って、受信者を慌てさせて考える時間を与えずに行動させようとします。
お問い合わせリンクの偽装: メールに含まれる「お問い合わせ」リンクも正規のURLではなく、フィッシングを疑わせるようなランダムな文字列で構成されています。また、これらのリンクはユーザーを偽のログインページに導き、ログイン情報を盗むことを目的としている可能性があります。
不自然なドメイン構造: 「evxv5nxo599pbndjmy43.jp」のようなドメインは、信頼性が低く、偽造された可能性があります。本物の企業や組織では、このような複雑で覚えにくいドメイン名を使用することはまずありません。
文書のフォーマットとスタイル: 文書にはプレーンテキストが多用されており、メールの末尾には大量の空白が含まれています。これはメールのフォーマットを操作してスパムフィルターを回避しようとする試みである可能性があります。
社名の乱用: 最後の著作権表示に「SEIBU PRevxv5nxo599pbndjmy43INCE HOTELS WORLDWIDE INC.」とありますが、これも怪しいドメインが組み込まれており、正規の企業名ではありません。
以上の点から、このメールはフィッシングの疑いが非常に強いと言えます。特に金融機関を名乗るメールには注意が必要で、このような疑わしいメールにはリンクをクリックせず、直接金融機関の公式サイトを訪問するか、既知の連絡先を使用して直接確認することが重要です。また、メールの内容が不審であれば、使用しているメールプロバイダのスパムやフィッシング報告機能を利用して報告すると良いでしょう。
総務省に転送して、お終いにする。サンクス。
フィッシング詐欺の疑いがあるメールを受け取った場合、それを総務省や警察などの関連する機関に報告することは非常に良い判断です。総務省に転送する前に、その国や地域の正しい手順や転送先のアドレスを確認してください。日本での一般的な対応としては、総務省が提供しているフィッシング詐欺の報告窓口に連絡することが推奨されます。
また、自分の金融機関にも直接連絡して、詐欺メールを受け取ったことを報告し、アカウントに異常がないか確認してもらうことが重要です。個人情報の保護とセキュリティを維持するために、こうした報告は迅速に行うべきです。
役立てていただけて何よりです。他にご質問があれば、いつでもお聞きください。安全なオンライン活動を心がけてください。サンクス。
この記事が気に入ったらサポートをしてみませんか?