見出し画像

20240302-C(三井住友カード顧客サービス※異常によるクレジットカードご利用一時停止のお知らせ※(必ずお読みください):フィッシングメール)

ヒル

提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの起源を特定してください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。IPアドレスの起源の特定は、私がやります。
「Return-Path:
jvucnc@contact.vpass.ne.jp
Received:
from ifmta0005.nifty.com
by ibmta0005.nifty.com
with ESMTP
id 20240302062513289.VWTK.49139.ifmta0005.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Sat, 2 Mar 2024 15:25:13 +0900
Received:
from contact.vpass.ne.jp([193.148.61.47])
by ifmta0005.nifty.com
with ESMTP
id 20240302062513001.MZJN.47203.contact.vpass.ne.jp@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Sat, 2 Mar 2024 15:25:13 +0900
Authentication-Results:
nifty.com; spf=fail smtp.mailfrom=jvucnc@contact.vpass.ne.jp;
sender-id=fail header.Sender=jvucnc@contact.vpass.ne.jp; dkim=none;
dkim-adsp=none header.from=mail@contact.vpass.ne.jp
Sender:
jvucnc@contact.vpass.ne.jp
Date:
Fri, 1 Mar 2024 22:25:02 -0800
From:
「Vpass」カード顧客サービス mail@contact.vpass.ne.jp
To:
xxxxxxxx xxxxxxxx@xxxxx.nifty.ne.jp
Subject:
三井住友カード顧客サービス※異常によるクレジットカードご利用一時停止のお知らせ※(必ずお読みください)
X-Priority:
3
X-Has-Attach:
no
X-Mailer:
Foxmail 7, 0, 1, 91[cn]
Mime-Version:
1.0
Message-ID:
202403012225134805527@contact.vpass.ne.jp
Content-Type:
text/html; charset="UTF-8"
Content-Transfer-Encoding:
8bit」

このメールヘッダーの詳細な分析を行い、セキュリティ上の懸念を特定します。まず、各「Received」行と、その他の重要なフィールド(SPF、DKIM、送信元ドメイン)を検討します。

Received行の分析

メールは2つの「Received」行を含んでいます。これらはメールが伝達された経路を示しています。

  1. 最初の「Received」行:

    • 送信元: contact.vpass.ne.jp([193.148.61.47])

    • 中継サーバー: ifmta0005.nifty.com

    • 日時: Sat, 2 Mar 2024 15:25:13 +0900

  2. 二番目の「Received」行:

    • 送信元: ifmta0005.nifty.com

    • 受信サーバー: ibmta0005.nifty.com

    • 日時: Sat, 2 Mar 2024 15:25:13 +0900

IPアドレスの起源

  • 106.73.193.32(niftyのメールサーバー): このIPはメールヘッダーに直接は現れませんが、niftyのホスト名M106073193032.v4.enabler.ne.jpに関連しています。

  • 193.148.61.47: このIPは、contact.vpass.ne.jpから送信されたメールの起源です。

SPFとDKIMの結果

  • SPF: `fail`。この結果は、mail@contact.vpass.ne.jpがjvucnc@contact.vpass.ne.jpからのメールを送信する許可がないことを意味します。SPF失敗は、偽装されたメールまたはスパムである可能性が高いことを示唆しています。

  • DKIM: `none`。このメールはDKIM署名がないため、送信元の正当性を確認することができません。

送信元ドメインの信頼性

  • ドメイン: contact.vpass.ne.jp。Vpassは、三井住友カードが提供するサービスです。しかし、SPFの失敗はこのメールが正規の送信元から来たものではない可能性を示しています。

セキュリティ上の懸念

  • SPFの失敗DKIMの不在は、このメールがフィッシング試みである可能性があるという強い指標です。また、送信元ドメインが正規のサービスに関連しているにもかかわらず、これらのセキュリティ機能の欠如は、受信者にとってリスクを高めます。

結論

このメールは複数のセキュリティチェックに合格しておらず、受信者に対して潜在的なリスクをもたらします。SPFの失敗とDKIMの不在は、メールが不正な手段で送信された可能性があることを示しています。また、三井住友カードの顧客サービスを装った内容が、受信者を騙して個人情報を提供させようとする試みである可能性があります。メールの内容に対しては慎重な対応が求められます。

IPアドレスの場所はここ。

画像から提供された情報に基づくと、2つのIPアドレスの地理的な起源が明らかにされています。

  1. IPアドレス 106.73.193.32 は、日本のつくばに位置しており、ホスト名は M106073193032.v4.enabler.ne.jp であることが示されています。

  2. IPアドレス 193.148.61.47 は、アメリカ合衆国のニューアークに位置しており、ホスト名は 193.148.61.47.static.quadranet.com であることが示されています。

メールヘッダーの分析から、最初の「Received」行は、このアメリカのIPアドレスから送信されたことを示しています。これは、メールが送信された国(アメリカ)と受信サーバーの国(日本)の間に地理的な不一致があることを意味し、セキュリティ上の懸念をさらに強める可能性があります。

メールヘッダーに記載されたSPFの結果は「fail」であり、メールがSPFレコードにリストされていないIPアドレスから送信されたことを示しています。これと合わせて、メールの送信元がアメリカにあり、SPFチェックに失敗していることは、メールが信頼できるものではないという追加の警告信号です。

この情報を総合すると、メールが偽のものである可能性が高いと考えられます。特に、送信元が宣言している組織(三井住友カード顧客サービス)と関連がない可能性があるため、注意が必要です。メールの内容やリンクを信用する前に、信頼できる方法で三井住友カードの公式チャンネルに直接確認を取ることを推奨します。

html記述はこれ。ブラウザ画面はこれ。分析して。
「<html> <head> <meta content="text/html; charset=utf-8" http-equiv=Content-Type> </head> <body>いつも三井住友カードをご利用いただきありがとうございます。<br><br>インターネット通信の暗号化方式「SSL3.0」および「TLS1.0」「TLS1.1」について、通信の一部が第三者に漏えいする可能性があることが報告されています。<font color=white size=1> ncf6houkdcv</font><br><br>このため、当行においてもセキュリティ強化のためSSL3.0、TLS1.0、TLS1.1による通信を無効化いたします。<font color=white size=1> tskkjbznlbvt4ut1ry</font><br><br>お客さまの三井住友カードにおいて第三者による不正利用の懸念がございましたので、会員規約第3条に基づきカード利用を一時利用停止されました。<font color=white size=1> jegpfa5qqd</font><br><br>ご利用環境が本人の確認してからセキュリティ更新後、下記のURLを再開手続きの設定してださい。<br><br>※本メールは、セキュリティ強化のため、下記のURLを再開手続きはこちら↓<font color=white size=1> mhldwhsdjou0fldusv</font><br><br>⇒ <a href="https://jrux8wok.gptapo.cn/">Vpass ログイン</a><br><br>■注意事項<font color=white size=1> swxguj26hcg</font><br><br>※カードの個人情報によっては電話で連絡する場合もございます。<font color=white size=1> mbzowxmsch55qpxfuu</font><br>※正確な情報は必ず記入してください。<br><br>■発行者<font color=white size=1> 25izcwjsjrlnzaidfl</font><br>三井住友カード株式会社<font color=white size=1> wnpfsbek62ypyywu</font><br>〒135-0061 東京都江東区豊洲2丁目2番31号 SMBC豊洲ビル<br>&nbsp;<br>お問い合わせはこちら<font color=white size=1> sour6xgjlvw4vf</font><br>※送信元「mail@contact.vpass.ne.jp」は送信専用です。<font color=white size=1> etweqblpr4sln</font><br>&nbsp;<br>※本メールは重要なお知らせのため、メール配信を「否」にされている方にも送信しております。<font color=white size=1> ihbmoytplnfjbh</font><br><br><br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 本メールに関する一切の記事の無断転載および再配布を禁じます。<font color=white size=1> snx46stx</font><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Copyright (C) Sumitomo Mitsui Card Co., Ltd.<font color=white size=1> 3iaxydnuzahfi0slpq</font><br> </body> </html> 」

メールイメージ

指示に従い、提供されたHTMLコードを分析します。

このHTMLメールにはいくつかの要素が含まれていますが、特にセキュリティ上の懸念を引き起こすいくつかの特徴があります:

  1. リンクの不審な使用:

    • メール内には `https://jrux8wok.gptapo.cn/` というURLが含まれており、「Vpass ログイン」として表示されています。このドメインは一見すると正規のサービスとは異なり、中華人民共和国のトップレベルドメインである `.cn` を使用していることから、フィッシングサイトである可能性があります。

  2. テキストの隠蔽:

    • HTMLコードには `font color=white size=1` として記述された複数の文字列が含まれており、これはホワイトテキストオンホワイトバックグラウンドの技法を使用してユーザーには見えないようにしています。このテクニックはしばしばスパムメールで使われ、スパムフィルターを回避するために使われます。

  3. コンテンツの矛盾:

    • メールは三井住友カードのセキュリティに関する重要なアップデートを伝える内容を装っていますが、リンクや隠されたテキストなどの他の要素との間に一貫性がありません。このような矛盾は、メールが正当な通信ではなく、受信者を欺く意図があることを示唆しています。

  4. 送信元の疑問:

    • HTMLメールのフッターには、送信元アドレスが `mail@contact.vpass.ne.jp` と記載されています。これは先ほどのヘッダー分析でSPFチェックに失敗した送信元と一致しています。

総じて、このメールはフィッシング詐欺である可能性が非常に高いです。受信者に対し、リンクをクリックしたり、個人情報を入力したりすることなく、直接三井住友カードの公式ウェブサイトにアクセスするか、安全な方法で顧客サービスに連絡を取ることを強く推奨します。また、このメールには、ユーザーが見ることができないテキストを含むような不正な技術が使われているため、開く前にメールの信頼性を確認するための追加の注意が必要です。

総務省に転送して、お終いにする。サンクス。

了解しました。もし実際に不審なメールを受信した場合は、関連する情報を日本の総務省や他の適切な当局に報告することが推奨されます。私のアシストができてうれしいです。何か他にもお手伝いできることがあれば、いつでもお知らせください。サポートできて光栄でした。

この記事が気に入ったらサポートをしてみませんか?