見出し画像

20240517-A(NIFTY Customer Support・重要: 現在、メール認証が必要です:フィッシングメール)

ヒル

◆提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの追跡をしてください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。因みに、niftyのメールサーバーのホスト名とIPアドレスは、これです。
・IPアドレス:106.73.193.32
・ホスト名:M106073193032.v4.enabler.ne.jp
「Return-Path:
no_reply@nifty.ne.jp
Received:
from ifmta1016.nifty.com
by ibmta1016.nifty.com
with ESMTP
id 20240509054100881.FYKC.15547.ifmta1016.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Thu, 9 May 2024 14:41:00 +0900
Received:
from mta-fwd-w08.mail.nifty.com([106.153.227.56])
by ifmta1016.nifty.com
with ESMTP
id 20240509054100806.CXDI.10038.mta-fwd-w08.mail.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Thu, 9 May 2024 14:41:00 +0900
Received:
from ibmta1018.nifty.com
by mta-fwd-w08.mail.nifty.com
with ESMTP
id 20240509054100708.SYX.6686.ibmta1018.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Thu, 9 May 2024 14:41:00 +0900
Received:
from ifmta1018.nifty.com
by ibmta1018.nifty.com
with ESMTP
id 20240509054100655.MVVX.6633.ifmta1018.nifty.com@nifty.com
for xxxxxxxx@nifty.ne.jp;
Thu, 9 May 2024 14:41:00 +0900
Received:
from mta.fb1134.secure.jp([150.60.250.164])
by ifmta1018.nifty.com
with ESMTP
id 20240509054100535.JYTP.1069.mta.fb1134.secure.jp@nifty.com
for xxxxxxxx@nifty.ne.jp;
Thu, 9 May 2024 14:41:00 +0900
Received:
from fb1134.secure.jp (localhost [127.0.0.1])
by mta.fb1134.secure.jp (Postfix)
with SMTP
id 34C9C238427
for xxxxxxxx@nifty.ne.jp;
Thu, 9 May 2024 14:41:00 +0900 (JST)
Received:
(qmail 12645 invoked from network);
9 May 2024 14:40:59 +0900
Received:
from unknown (HELO WIN-BUNS25TD77J) (admin@super-stars.jp@162.19.196.2)
by 0
with SMTP;
9 May 2024 14:40:59 +0900
Authentication-Results:
nifty.com; spf=pass smtp.mailfrom=no_reply@nifty.ne.jp; sender-id=pass header.From=no_reply@nifty.ne.jp;
dkim=none;
dkim-adsp=none header.from=no_reply@nifty.ne.jp
From:
NIFTY Customer Support no_reply@nifty.ne.jp
Subject:
重要: 現在、メール認証が必要です
To:
xxxxxxxx@nifty.ne.jp
Content-Type:
multipart/alternative; boundary="SOEH=_S2pDG1QokflUayBoAN7AyIbbXDyo"
MIME-Version:
1.0
Date:
Thu, 9 May 2024 14:40:59 +0900
Message-Id:
2024090514405845E2E5F6FE$5481A0F8F4@nifty.ne.jp」

メールヘッダーの詳細な分析を行います。まず、各「Received」行を調査し、IPアドレスの追跡を行います。その後、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認します。

「Received」行の解析

  1. Received: from ifmta1016.nifty.com by ibmta1016.nifty.com

    • 送信元: ifmta1016.nifty.com

    • 受信先: ibmta1016.nifty.com

    • 日時: 2024年5月9日14:41:00 +0900

  2. Received: from mta-fwd-w08.mail.nifty.com([106.153.227.56]) by ifmta1016.nifty.com

    • 送信元: mta-fwd-w08.mail.nifty.com (IP: 106.153.227.56)

    • 受信先: ifmta1016.nifty.com

    • 日時: 2024年5月9日14:41:00 +0900

  3. Received: from ibmta1018.nifty.com by mta-fwd-w08.mail.nifty.com

    • 送信元: ibmta1018.nifty.com

    • 受信先: mta-fwd-w08.mail.nifty.com

    • 日時: 2024年5月9日14:41:00 +0900

  4. Received: from ifmta1018.nifty.com by ibmta1018.nifty.com

    • 送信元: ifmta1018.nifty.com

    • 受信先: ibmta1018.nifty.com

    • 日時: 2024年5月9日14:41:00 +0900

  5. Received: from mta.fb1134.secure.jp([150.60.250.164]) by ifmta1018.nifty.com

    • 送信元: mta.fb1134.secure.jp (IP: 150.60.250.164)

    • 受信先: ifmta1018.nifty.com

    • 日時: 2024年5月9日14:41:00 +0900

  6. Received: from fb1134.secure.jp (localhost [127.0.0.1]) by mta.fb1134.secure.jp (Postfix)

    • 送信元: fb1134.secure.jp (localhost [127.0.0.1])

    • 受信先: mta.fb1134.secure.jp (Postfix)

    • 日時: 2024年5月9日14:41:00 +0900

  7. Received: (qmail 12645 invoked from network); 9 May 2024 14:40:59 +0900

    • qmailによる受信

  8. Received: from unknown (HELO WIN-BUNS25TD77J) (admin@super-stars.jp@162.19.196.2) by 0

    • 送信元: unknown (HELO WIN-BUNS25TD77J) (admin@super-stars.jp@162.19.196.2)

    • 受信先: 0

    • 日時: 2024年5月9日14:40:59 +0900

IPアドレスの追跡

  1. 106.153.227.56

    • このIPアドレスはniftyのメールサーバーであり、信頼性が高いと見なせます。

  2. 150.60.250.164

    • このIPアドレスもsecure.jpのサーバーであり、信頼性が高いと見なせます。

  3. 162.19.196.2

    • このIPアドレスは不明なホストからのものであり、admin@super-stars.jpという不審なアドレスが含まれています。これがフィッシングメールの可能性を示唆しています。

SPFとDKIMの結果の解釈

  • SPF: `spf=pass smtp.mailfrom=no_reply@nifty.ne.jp`

    • このメールはSPF検証に合格しており、nifty.ne.jpの正当な送信元からのメールと認識されています。

  • DKIM: `dkim=none; dkim-adsp=none`

    • DKIM署名がないため、送信元ドメインがメッセージの整合性を保証していません。

送信元ドメインの信頼性評価

  • メールの送信元アドレスは`no_reply@nifty.ne.jp`であり、niftyの公式ドメインです。しかし、Received行の中に不審なエントリ(162.19.196.2)が含まれていることから、このメールはniftyのサーバーを経由していない可能性があります。

セキュリティ上の懸念

  • メールヘッダーの内容から、`admin@super-stars.jp@162.19.196.2`からの送信が検出されました。これは非常に疑わしいものであり、フィッシングの可能性が高いです。

  • DKIM署名がないため、メールの真正性が完全に保証されていません。

結論

このメールにはフィッシングの可能性があります。特に、不明な送信元(162.19.196.2)とDKIM署名の欠如が懸念材料です。このメールを受信した場合、リンクをクリックしたり、個人情報を入力したりしないように注意してください。メールを開かずに削除するか、セキュリティ担当者に報告することをお勧めします。

◆テキスト部分はこれ。分析して。
「拝啓 xxxxxxxx@nifty.ne.jp

メール サーバー上でアカウントをアクティブな状態に保つために、メール アカウントを確認することをお勧めします。 上記の安全なリンクを使用して、今すぐメール認証を完了してください。 アカウントを確認しないと、アカウントが無効になります。

クリックしてメールアカウントを確認してください https://www.guides-shopping.com/redirect?productUrl=https://acmail-nifty-ne-jp.info/ty/auth-xxxxxxxx/3pdylntnhw/xxxxxxxx@nifty.ne.jp

心から、
NIFTYセキュリティチーム

Copyright (C) 2024 NIFTY Corporation, Inc. All Rights Reserved」

提供されたテキスト部分を分析し、フィッシングの可能性を検討します。

フィッシングの兆候

  1. リンクの不審な点

    • リンクが`https://www.guides-shopping.com/redirect?productUrl=https://acmail-nifty-ne-jp.info/ty/auth-xxxxxxxx/3pdylntnhw/xxxxxxxx@nifty.ne.jp`となっており、公式なnifty.ne.jpのドメインとは異なる。

    • `guides-shopping.com`と`acmail-nifty-ne-jp.info`はniftyとは無関係のドメインである可能性が高い。

  2. 緊急性を強調する文言

    • 「アカウントを確認しないと、アカウントが無効になります」という緊急性を強調する表現が、受信者を急かしてリンクをクリックさせようとする典型的なフィッシング手法です。

  3. 一般的なセキュリティチームの署名

    • 「NIFTYセキュリティチーム」という一般的な署名は、公式なコミュニケーションで使われることは少なく、具体的な担当者名や詳細が欠けている。

追加の分析

  • リンクの詳細確認

    • `guides-shopping.com`と`acmail-nifty-ne-jp.info`のドメインがフィッシング目的で使用される可能性があります。

    • 公式なnifty.ne.jpのドメインからメールが来る場合、通常はリンク先もnifty.ne.jpのドメインを使用するはずです。

  • 文体と内容

    • メールの内容はシンプルであり、正規のメールであればもう少し詳細な説明や追加の連絡先情報が含まれているはずです。

結論

このメールは非常に高い確率でフィッシングメールです。不審なリンクが含まれており、受信者を急かして個人情報を入力させようとする意図が明白です。このメールに含まれるリンクをクリックしないようにし、メールを削除するか、セキュリティ担当者に報告することをお勧めします。

◆html記述はこれ。ブラウザ画面はこれ。分析して。
「 <html><head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <META name="viewport" content="width=device-width, initial-scale=1"> <META name="format-detection" content="telephone=no"><title>重要: 現在、メール認証が必要です</title> </head> <body style="BACKGROUND-COLOR: #ffffff"
・・・・
style="FONT-SIZE: small; FONT-FAMILY: Arial, Helvetica, sans-serif; WHITE-SPACE: normal; WORD-SPACING: 0px; TEXT-TRANSFORM: none; COLOR: rgb(34,34,34); FONT-STYLE: normal; ORPHANS: 2; WIDOWS: 2; TEXT-INDENT: 0px; font-variant-ligatures: normal; font-variant-caps: normal; -webkit-text-stroke-width: 0px; text-decoration-thickness: initial; text-decoration-style: initial; text-decoration-color: initial">Copyright (C) 2024 NIFTY Corporation, Inc. All Rights Reserved</B></P></FONT></STRONG></body> </html> 」

メールイメージ

提供されたHTMLコードとスクリーンショットをもとに、メールの分析を行います。

フィッシングの兆候

  1. 不審なリンク

    • 提供されたリンクが`guides-shopping.com`や`acmail-nifty-ne-jp.info`のドメインを使用しており、公式のnifty.ne.jpのドメインではありません。

    • 正規のniftyからのメールであれば、リンク先もnifty.ne.jpのドメインであるはずです。

  2. 緊急性を強調

    • 「アカウントを確認しないと、アカウントが無効になります」という表現が、受信者を急かしてリンクをクリックさせようとする典型的なフィッシング手法です。

  3. 一般的な署名

    • 「NIFTYセキュリティチーム」という一般的な署名は、公式のコミュニケーションで使われることは少なく、具体的な担当者名や詳細が欠けている。

結論

このメールは非常に高い確率でフィッシングメールです。不審なリンクが含まれており、受信者を急かして個人情報を入力させようとする意図が明白です。公式なメールであれば、nifty.ne.jpドメインのリンクが使われるはずです。このメールに含まれるリンクをクリックしないようにし、メールを削除するか、セキュリティ担当者に報告することを強くお勧めします。

◆総務省に転送して、お終いにする。サンクス。

了解しました。総務省にこのフィッシングメールを転送することで、適切な対策が講じられることを期待します。

この記事が気に入ったらサポートをしてみませんか?