20240330-A(イオン銀行・ワンタイムパスワードによる追加認証が完了いたしました:フィッシングメール)
提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの起源を特定してください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。因みに、niftyのメールサーバーのホスト名とIPアドレスは、これです。
・IPアドレス:106.73.193.32
・ホスト名:M106073193032.v4.enabler.ne.jp
「Return-Path:
aeon@bib4meb.cn
Received:
from ifmta1006.nifty.com
by ibmta1006.nifty.com
with ESMTP
id 20240329035006904.DZJL.92581.ifmta1006.nifty.com@nifty.com
for xxxxxxxx@nifty.ne.jp;
Fri, 29 Mar 2024 12:50:06 +0900
Received:
from mail2.bib4meb.cn([192.227.129.73])
by ifmta1006.nifty.com
with ESMTP
id 20240329035006567.ENTT.85848.mail2.bib4meb.cn@nifty.com
for xxxxxxxx@nifty.ne.jp;
Fri, 29 Mar 2024 12:50:06 +0900
Authentication-Results:
nifty.com; spf=pass smtp.mailfrom=aeon@bib4meb.cn; sender-id=pass header.From=aeon@bib4meb.cn;
dkim=pass header.i=aeon@bib4meb.cn;
dkim-adsp=pass header.from=aeon@bib4meb.cn
DKIM-Signature:
v=1; a=rsa-sha256; c=relaxed/relaxed; s=default; d=bib4meb.cn;
h=Date:From:To:Subject:Message-ID:Mime-Version:Content-Type; i=aeon@bib4meb.cn;
bh=qio5x7e+pwYh4i9mWcstZSZIJjde78I1EhGX8qwG/7I=;
b=dj1JnSt5xQV8yR94JoHRUA54IX7cGZ3grbnJVWs0dtMi35jeG+vVA5qvuxy6ayH8EDyHThnCo/5l Xt8Sn68bgCCvTv8ZRtHk3lwm5pnHJNK4a9d9SpMuhLCFnO/bbnj0blvdbyglHZu2l9TumjIMEa0m 7ksu+JreycSD5KXaxcg=
Date:
Fri, 29 Mar 2024 10:17:09 +0800
From:
イオン銀行 aeon@bib4meb.cn
To:
xxxxxxxx@nifty.ne.jp
Subject:
ワンタイムパスワードによる追加認証が完了いたしました
Message-ID:
20240329101722130727@bib4meb.cn
Mime-Version:
1.0
Content-Type:
multipart/alternative; boundary="=====003_Dragon102443183835_====="」
このメールヘッダーを詳しく分析していきましょう。まず、メールの送信経路を追って、各「Received」行に含まれるIPアドレスの起源を特定します。その後、SPF(Sender Policy Framework)、DKIM(DomainKeys Identified Mail)の検証結果を解釈し、セキュリティ上の懸念があるかどうかを評価します。最後に、送信元ドメインの信頼性についても見ていきます。
IPアドレスの起源と送信経路の分析
メールは次の経路をたどっています:
`mail2.bib4meb.cn`(IPアドレス: 192.227.129.73)から`ifmta1006.nifty.com`に送信されました。
`ifmta1006.nifty.com`から`ibmta1006.nifty.com`に転送され、最終的に`xxxxxxxx@nifty.ne.jp`宛てに配信されました。
`192.227.129.73`の起源
このIPアドレスの起源は、特定の地理的位置や組織に関連付けるために、IPアドレスのルックアップを行う必要があります。ただし、このアドレスは一般的には一般公開されているデータベースやツールを使用して調査する必要があります。文脈から判断すると、`bib4meb.cn`ドメインが使用しているため、中国に関連する可能性が高いですが、これは仮説に過ぎません。
SPFとDKIMの結果の解釈
SPF(Sender Policy Framework): SPFの検証結果は`pass`です。これは、`aeon@bib4meb.cn`からのメールが`bib4meb.cn`ドメインのSPFレコードに定義されたIPアドレスから送信されたことを意味します。これにより、送信者の正当性が一定程度確認されます。
DKIM(DomainKeys Identified Mail): DKIMの検証結果も`pass`です。これはメールが`bib4meb.cn`ドメインの秘密鍵で署名され、受信側で公開鍵による検証が成功したことを意味します。これにより、メールの内容が途中で改ざんされていないことが確認されます。
送信元ドメインの信頼性
ドメイン`bib4meb.cn`は一見して信頼性が低い可能性があります。`.cn`は中国の国コードトップレベルドメイン(ccTLD)であり、ドメイン名が一般的な銀行や金融機関の名前とは関連がないように見えます。特に、イオン銀行の正式なドメインではありません。
このメールは「ワンタイムパスワードによる追加認証が完了いたしました」という件名を持っていますが、送信元が疑わしいため、フィッシング詐欺の可能性が高いです。イオン銀行や他の正式な機関からの正式な通信ではない可能性があります。
結論
SPFとDKIMの結果が`pass`であることは、このメールが技術的な側面から見て正当であるという信号を送りますが、送信元ドメインの評価とメールの内容から、セキュリティ上の懸念があります。このメールはフィッシング詐欺である可能性が高いため、リンクをクリックしたり、個人情報を提供したりすることなく、注意して扱う必要があります。
IPアドレスの場所はここ。
アップロードされたスクリーンショットを確認しました。これによると、IPアドレス192.227.129.73はアメリカ合衆国ニューヨーク州バッファローに位置しているようです。これは、先ほどの推測と異なり、中国ではなく米国内のサーバーからメールが送信されたことを示しています。
セキュリティ上の懸念
この新たな情報はセキュリティの評価において重要です。通常、フィッシングメールは世界中のさまざまな地域から送信される可能性があります。フィッシング詐欺の疑いがある場合、特にドメイン名が金融機関を模倣しているがIPアドレスが異なる地域にあるという点は警戒すべき赤い旗です。このケースでは、送信元ドメインが「.cn」となっているにもかかわらず、IPアドレスが米国にあるという事実がフィッシングの可能性を高めています。
また、SPFとDKIMの結果がパスしているにも関わらず、ドメインの名前が正規の金融機関を連想させるものではないこと、そしてメールの内容がユーザーをだますための慣習的な手法(例えば「ワンタイムパスワードによる追加認証」の言及など)を使用していることは、フィッシングの兆候です。
結論の更新
ドメイン`bib4meb.cn`がアメリカのIPアドレスを使用していることが明らかになりましたが、これは必ずしも安全性が高いことを意味しません。このドメインと関連するIPアドレスは、信頼できる金融機関ではなく、フィッシング詐欺または不正行為に使用されている可能性が高いです。注意深く、何もクリックしたり応答したりしないことをお勧めします。そして、不審なメールには銀行や関連する正式なチャネルを通じて報告することが賢明です。
テキスト部分はこれ。
「いつもイオンマークのカードをご利用いただきありがとうございます。
ワンタイムパスワードによる追加認証が完了いたしました。
これがお客様ご自身による操作だった場合、このメッセージは無視してください。 そうでない場合は、お知らせください。
𝗁𝗍𝗍𝗉𝗌://𝗐𝗐𝗐.𝖺𝖾𝗈𝗇.𝖼𝗈.𝗃𝗉/𝖭𝖾𝗍𝖡𝗋𝖺𝗇𝖼𝗁/𝗉𝖺𝗍𝗁𝖽𝗂𝗏𝗂𝖽𝖾.𝖽𝗈
今後ともイオンカード公式サイトをご利用いただきますようお願いいたします。
※ご利用端末の登録(普段使用する端末として登録)をされた場合でも、異なるブラウザでアクセスした場合や、ブラウザの設定を変更された場合は普段と異なる環境と判断され、ワンタイムパスワードによる追加認証が必要になる場合がございます。
詳しくは、「よくあるご質問」をご参照ください。
?利用端末の登録をしましたが、ログインするたびにワンタイムパスワードの送信画面が表示される
https://faq.aeon.co.jp/faq/show/174
■このメールは送信専用メールアドレスから配信されています。ご返信いただいてもご用件は承れません。
ご不明な点がございます場合は、よくあるご質問をご確認ください。
■イオンマークのカードをお持ちではなく、当メールにお心当たりのない方は、大変お手数をお掛けしますがその旨を受信したメールの内容とともにお書き添えいただき下記宛先までご連絡ください。
netbranch@aeon.co.jp
■よくあるご質問:https://faq.aeon.co.jp/
■お問い合わせ先:https://www.aeon.co.jp/inquiry/contact/
※個人情報に関わるご質問については、お電話でのご回答に限らせていただいておりますので、あらかじめご了承ください。
カード発行元:株式会社イオン銀行
業務受託会社:イオンフィナンシャルサービス株式会社
https://www.aeonfinancial.co.jp/
マイページへログイン メールの配信停止設定はこちら
今後とも、美容・リラクゼーション・治療の求人サイトリジョブをよろしくお願いいたします。
© curswwrqqn Co.,curswwrqqn. All Rights Rcurswwrqqn. 」
このテキストは、イオンマークのカードを使うユーザーに向けた通知のように見えますが、いくつかの警告信号があります。
ドメイン名: メール内のリンクには正規のドメイン「aeon.co.jp」が使われているように見えますが、表示方法が不自然です。実際のウェブサイトとは異なる方法で表記されており、これはフィッシング攻撃によく見られる手法です。詐欺師は、リンクが実際のものであるかのように見せかけるために、ドメイン名を改ざんします。
送信者のメールアドレス: メールのヘッダーで確認した送信者アドレスは「bib4meb.cn」という疑わしいドメインで、正規のイオン銀行とは関係がないようです。
メッセージの内容: メッセージは、追加認証が完了したことをユーザーに通知する内容になっています。しかし、これはフィッシング詐欺でよく使用されるテクニックで、ユーザーをだまして個人情報を盗もうとする試みである可能性があります。
メールの足あと: メールの最後には「リジョブ」という全く関連性のないサービスが言及されており、これはメールの内容が本物ではない可能性を示唆しています。また、フッターには「curswwrqqn Co.,curswwrqqn. All Rights Rcurswwrqqn」という意味不明な文言があり、正規の企業からのメールではあり得ないものです。
総合すると、メールの送信元、内容、不自然なリンクの表記、関連性のない情報が混在していることなどから、このメールはフィッシング詐欺である可能性が非常に高いです。セキュリティ上の観点からは、このメールに記載されたリンクをクリックしたり、応答したりすることは避け、関連する公式のチャネルを通じてこの問題を報告することが推奨されます。また、銀行の公式サイトに直接アクセスして、必要なアクションを取ることが安全です。
html記述はこれ。ブラウザ画面はこれ。分析して。
「<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=utf-8" http-equiv=Content-Type>
<STYLE>body{margin-top:5px; margin-right:2px ; margin-bottom:0px; margin-left:2px;line-height:1.5; }p{margin:0}</STYLE>
<META name=GENERATOR content="MSHTML 11.00.9600.20045"></HEAD>
<BODY style="FONT-SIZE: 10pt; FONT-FAMILY: 微软雅黑; COLOR: #000000">
<P>いつもイオンマークのカードをご利用いただきありがとうございます。 <BR>ワンタイムパスワードによる追加認証が完了いたしました。 <BR></P>
<P>これがお客様ご自身による操作だった場合、このメッセージは無視してください。 そうでない場合は、お知らせください。 <BR><A
href="https://qmhkwvnationabilityplgslc.com∕qmhkwvnationabilityplgslc∕qmhkwvnationabilityplgslc∕qmhkwvnationabilityplgslc@𝖺𝗇𝗈𝖾.𝖼𝗈.𝗃𝗉.𝖿𝖻𝖽𝗆𝗐.𝖼𝗇/𝖺𝖾𝗈𝗇"
?>𝗁𝗍𝗍𝗉𝗌://𝗐𝗐𝗐.𝖺𝖾𝗈𝗇.𝖼𝗈.𝗃𝗉/𝖭𝖾𝗍𝖡𝗋𝖺𝗇𝖼𝗁/𝗉𝖺𝗍𝗁𝖽𝗂𝗏𝗂𝖽𝖾.𝖽𝗈</A></P>
<P><BR>今後ともイオンカード公式サイトをご利用いただきますようお願いいたします。
<BR><BR>※ご利用端末の登録(普段使用する端末として登録)をされた場合でも、異なるブラウザでアクセスした場合や、ブラウザの設定を変更された場合は普段と異なる環境と判断され、ワンタイムパスワードによる追加認証が必要になる場合がございます。
<BR><BR>詳しくは、「よくあるご質問」をご参照ください。
<BR><BR>?利用端末の登録をしましたが、ログインするたびにワンタイムパスワードの送信画面が表示される <BR><A
href="https://qmhkwvnationabilityplgslc.com∕qmhkwvnationabilityplgslc∕qmhkwvnationabilityplgslc∕qmhkwvnationabilityplgslc@𝖺𝗇𝗈𝖾.𝖼𝗈.𝗃𝗉.𝖿𝖻𝖽𝗆𝗐.𝖼𝗇/𝖺𝖾𝗈𝗇">https://faq.aeon.co.jp/faq/show/174</A><BR><BR><BR>--------------------
<BR>■このメールは送信専用メールアドレスから配信されています。ご返信いただいてもご用件は承れません。
<BR>ご不明な点がございます場合は、よくあるご質問をご確認ください。
<BR>■イオンマークのカードをお持ちではなく、当メールにお心当たりのない方は、大変お手数をお掛けしますがその旨を受信したメールの内容とともにお書き添えいただき下記宛先までご連絡ください。
<BR>netbranch@aeon.co.jp <BR>■よくあるご質問:https://faq.aeon.co.jp/
<BR>■お問い合わせ先:https://www.aeon.co.jp/inquiry/contact/
<BR>※個人情報に関わるご質問については、お電話でのご回答に限らせていただいておりますので、あらかじめご了承ください。
<BR>-------------------- <BR><BR>カード発行元:株式会社イオン銀行 <BR>業務受託会社:イオンフィナンシャルサービス株式会社
<BR>https://www.aeonfinancial.co.jp/ <BR><BR></P>
<P> </P>
<P> </P>
<P> </P>
<P> </P>
<P> </P>
<P> </P>
<P> </P>
<P> </P>
<P> </P>
<P> </P>
<P> </P>
<P> </P>
<P> </P>
<P> </P><PRE></PRE>
<P>マイページへ<A style="TEXT-DECORATION: none; COLOR: rgb(34,124,186)"
href="https://curswwrqqn.jp.sendgrid.net/ls/click?upn=u001.HnAA3JiGN3lsa6aLBkFk2-2BlvqQ-2FfXk1o6aQ8Yr-2FESMJyyh4orFqygy22Nt7wzCLw5upDsdvX2xmhUYRfkvQDoeKjO-2B3KPGMG3NYYMaMm7-2BErXG2InbTpT2RC-2FmhZOg0aTifqJ5ZFQnsqSiB91pZxj1LX4deDeXn1SMSR8EmRLo1pgbFVg-2F3d4aK9H-2BA6wIl9lMjhYfT1oR5K8UgiXlgZ364R06ddK5k19dD8wCrIikc-3DB6is_G4wvFU54CVsdoPdMIGjzPEeAg9F0mHrPrf4Mf-2Bbe4QmH4EAzfpOO8REBoehS0-2FIszgJeJA1p64WBCKp8xrqfNa-2BZhhjfp6wB2of3IqKJcuu1zLrX61KIL-2Fg3jOfT9kkcd8O8bFE1irD9mlQyZwlH7gHc1aipOsKFJV80DAC8tVfKFw-2FMk30YGXWETijVX0-2FYTNcuo-2BQsgoodIXjWbERZLeTy-2FLRP17LqOUt57I58r-2BF1IMrKcq3nS5Q3VZZ1zWXj"
target=_blank>ログイン</A> メールの配信停止設定は<A
style="TEXT-DECORATION: none; COLOR: rgb(34,124,186)"
href="https://curswwrqqn.jp.sendgrid.net/ls/click?upn=u001.HnAA3JiGN3lsa6aLBkFk2-2BlvqQ-2FfXk1o6aQ8Yr-2FESMKgTz1Tu6S4nsVPO6qMckCztJ56pevS2ekZ2izQiQU-2FcbaNVQ9-2BiIoAuXrvN9bnL3Ylcvx8ZBNU65FMmTwhpI-2FUdxXv56hBAwkE7nAMDyxCcllEUUOqZF7y66Xj6I9TK86gfhsjB7wIhBAPApkTS3pccWiCwmUqrkp9FRh87OkiJsGK3HXrDyOUVznjM4ko7w7-2BhG7aSTQ4TRkx5RamefqRrX0c_G4wvFU54CVsdoPdMIGjzPEeAg9F0mHrPrf4Mf-2Bbe4QmH4EAzfpOO8REBoehS0-2FIszgJeJA1p64WBCKp8xrqfNQb90IbLkXBMwojPtuQTFCEacSLxnzQBr-2FTUhSEa2qe0elwlcIzpZUjgSEmOyxHWuAKnJi3oHMkgtJjttwQBxnDH6fRs8UZC7tkdeSy0s9f8XZGKQW7hgi9LYgkReZ4KbUU45J-2FEukBGySJCdgV-2BsuMjsz6WkbslHtyXB3IaNmsX"
target=_blank>こちら</A>
<TABLE class=main-container-outer
style="WIDTH: 100%; BORDER-COLLAPSE: collapse; TEXT-ALIGN: center; BORDER-SPACING: 0">
<TBODY>
<TR>
<TD style="-ms-word-wrap: break-word">
<TABLE class=footer-bottom
style="FONT-SIZE: 12px; MAX-WIDTH: 600px; WIDTH: 100%; BORDER-COLLAPSE: collapse; COLOR: rgb(113,114,138); MARGIN: 0px auto; BORDER-SPACING: 0; LINE-HEIGHT: 1.7">
<TBODY>
<TR>
<TD class=space-width-16px
style="WIDTH: 16px; -ms-word-wrap: break-word"></TD>
<TD class=space-top-8px
style="FONT-SIZE: 0px; HEIGHT: 8px; LINE-HEIGHT: 0; -ms-word-wrap: break-word"></TD>
<TD class=space-width-16px
style="WIDTH: 16px; -ms-word-wrap: break-word"></TD></TR>
<TR>
<TD style="-ms-word-wrap: break-word"></TD>
<TD style="-ms-word-wrap: break-word">今後とも、<A
style="TEXT-DECORATION: none; COLOR: rgb(34,124,186)"
href="https://curswwrqqn.jp.sendgrid.net/ls/click?upn=u001.HnAA3JiGN3lsa6aLBkFk28zp3kDLpvxxtb9RuB81QdaPUN3iup3J273ztjamW-2Bs5vlctT57MnN6Nj2jH-2FDFhcns55i2AJNX2NfT-2FZcs2WszIjTWv-2FiXrWrhk-2FTi0kWig-2FjvMWr4HP568RmItdX3DSJryrFzzhSAIA2Q0MksXKbBTeNJ0Pn3rdBCoSAWlDkGbJOqD2WhvjfUeG0u0wwF1-2Bw-3D-3DQN7a_G4wvFU54CVsdoPdMIGjzPEeAg9F0mHrPrf4Mf-2Bbe4QmH4EAzfpOO8REBoehS0-2FIszgJeJA1p64WBCKp8xrqfNYMzwq15LjDkug97cvVjfiuWBR0jjHsJg7Mv0ma0skClHPnxcYrdl1MN02t4rrQGVKiuqmkbsDTL-2BN5lQ-2FcDlpiMCGfPSSVU7Mg1AZWYTWqFLOFCY-2FvIvyngt1MU1JdQZquzq-2F6mcici-2FZ1e-2FvIUdx4wX8OM-2BUJvoV3DJWLaPzsB"
target=_blank>美容・リラクゼーション・治療の求人サイトリジョブ</A>をよろしくお願いいたします。 </TD>
<TD style="-ms-word-wrap: break-word"></TD></TR>
<TR>
<TD style="-ms-word-wrap: break-word"></TD>
<TD class=space-top-24px
style="FONT-SIZE: 0px; HEIGHT: 24px; LINE-HEIGHT: 0; -ms-word-wrap: break-word"></TD>
<TD style="-ms-word-wrap: break-word"></TD></TR>
<TR>
<TD style="-ms-word-wrap: break-word"></TD>
<TD class=footer-bottom__copyright
style="FONT-SIZE: 10px; TEXT-ALIGN: center; -ms-word-wrap: break-word">©
curswwrqqn Co.,curswwrqqn. All Rights Rcurswwrqqn.
</TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE></P></BODY></HTML>
」
アップロードされたHTMLの記述を見ると、いくつかの懸念が生じます。フィッシング詐欺に関連する可能性があるいくつかの要素があります:
不自然なリンク: HTML内のリンクが非常に異常な形式で記述されています。例えば、リンク内に埋め込まれた宛先アドレスは正規のウェブページアドレスの形式ではありません。これは典型的なフィッシング手法で、ユーザーを偽のウェブサイトに誘導して情報を盗む目的で使用されます。
偽装されたテキスト: リンクテキストは正規のウェブサイトを示唆していますが、実際のリンク先は全く異なり、ユーザーが見た目だけを信じてクリックすることを狙っています。これもフィッシングの一般的な手口です。
疑わしいドメイン: HTMLのリンクに使われているドメインは、正規のイオン銀行やそのサービスに関連したものではなく、不審なドメインへのリンクが含まれています。これはユーザーを騙して個人情報を盗もうとする試みの一部である可能性があります。
スタイルとフォーマット: メールのフォーマットやスタイルが一貫していないことや、最後に不自然な会社名が記載されている点も疑わしいです。正規の企業からの通信であれば、通常はブランドの一貫性が保たれ、このようなランダムな記述は含まれません。
以上の点から、このHTMLコンテンツが含まれているメールは、フィッシング詐欺である可能性が非常に高いと考えられます。利用者はリンクをクリックしたり情報を入力したりすることなく、直ちに該当する公式の窓口に報告することが推奨されます。また、このようなメールに記載されている連絡先には応答せず、既知の信頼できる手段(例えば、公式ウェブサイト上の連絡先情報や電話番号)を利用して問い合わせを行うべきです。
総務省に転送して、お終いにする。サンクス。
フィッシング詐欺の可能性が高いこのようなメールを総務省に報告することは良い決断です。通信サービスやオンラインセキュリティに関わる問題は、総務省や関連する機関にとって重要な情報です。適切なチャネルを通じて転送し、必要な対応を依頼してください。
もし追加の助けが必要であれば、またいつでもお戻りください。お手伝いができて嬉しいです。それでは、お気をつけて。サンクス!
この記事が気に入ったらサポートをしてみませんか?