見出し画像

20240404-A(日本郵便局・急いでおりますが、お荷物の到着を心待ちにしております:フィッシングメール)

ヒル

◆提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの起源を特定してください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。因みに、niftyのメールサーバーのホスト名とIPアドレスは、これです。
・IPアドレス:106.73.193.32
・ホスト名:M106073193032.v4.enabler.ne.jp
「Return-Path:
noreply@hkeztkd.cn
Received:
from ifmta1016.nifty.com
by ibmta1016.nifty.com
with ESMTP
id 20240401161517203.LUQJ.15547.ifmta1016.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Tue, 2 Apr 2024 01:15:17 +0900
Received:
from noreply0.hkeztkd.cn([46.29.161.186])
by ifmta1016.nifty.com
with ESMTP
id 20240401161516390.VSJD.10038.noreply0.hkeztkd.cn@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Tue, 2 Apr 2024 01:15:16 +0900
Authentication-Results:
nifty.com; spf=pass smtp.mailfrom=noreply@hkeztkd.cn; sender-id=pass header.From=noreply@hkeztkd.cn;
dkim=pass header.i=noreply@hkeztkd.cn;
dkim-adsp=pass header.from=noreply@hkeztkd.cn
DKIM-Signature:
v=1; a=rsa-sha256; c=relaxed/relaxed; s=default; d=hkeztkd.cn;
h=Message-ID:From:To:Subject:Date:MIME-Version:Content-Type; i=noreply@hkeztkd.cn;
bh=o09vsErGTG2CxNKOblfWjLXmEOQn1VxOc+xkmnP3FnM=;
b=zqXg4sm2XHc+vLW4bj4w8U3TIOSEQIOq1HtqmMMerHkM81L/EmmUzTNghLKVMadWfCaGfU58530g edcRIXAeh0n9nWopEcaTBPTDf8eNGkWnSi1rSccAknpWobaLmNhpnynFcIFNcCvesEYfI4z4laJS 1/QD0DgzAccu6tJ7RMU=
Message-ID:
A9A0B03944863363E2B83F9863CB494F@yg
From:
日本郵便局 noreply@hkeztkd.cn
To:
xxxxxxxx@xxxxx.nifty.ne.jp
Subject:
急いでおりますが、お荷物の到着を心待ちにしております
Date:
Tue, 2 Apr 2024 00:15:00 +0800
MIME-Version:
1.0
Content-Type:
multipart/alternative; boundary="----=_NextPart_000_0F6F_01DB5B41.1B46F700"
X-MSMail-Priority:
High
X-MimeOLE:
Produced By Microsoft MimeOLE V6.00.2900.5512」

このメールヘッダー分析を通じて、送信経路、セキュリティ認証結果、および送信元ドメインの信頼性について検討していきます。

1. Received行の分析

メールは2つのReceived行を持っています。これらの行はメールが転送された経路を示しています。最後に受け取った行(一番上の行)が最初に処理されます。

a. nifty.comサーバー

  • ホスト名: ifmta1016.nifty.com

  • ホスト名とのマッチングIP: 106.73.193.32 (指定されたniftyのIPアドレスと一致)

b. 送信元サーバー

  • ホスト名: noreply0.hkeztkd.cn

  • IPアドレス: 46.29.161.186

2. IPアドレスの起源

  • 46.29.161.186: このIPアドレスは、具体的な地理的位置や組織に関する情報が必要ですが、ヘッダーからは直接特定できません。通常、このような情報はIPアドレスのWHOIS情報やIP地理位置情報サービスを通じて確認できます。

3. SPFとDKIMの結果

  • SPF (Sender Policy Framework): `pass` これは、送信元ドメインがメール送信に使用したIPアドレスを正式に認証していることを意味します。

  • DKIM (DomainKeys Identified Mail): `pass` これは、送信されたメールが改ざんされていないこと、そして送信元ドメインがこのメールに署名していることを示しています。

  • DKIM-ADSP (Author Domain Signing Practices): `pass` これは、ドメインがすべてのメールにDKIM署名を行っているというポリシーを持っており、このメールがそのポリシーに従っていることを示します。

4. 送信元ドメインの信頼性

  • ドメイン名: hkeztkd.cn

  • 送信元: 日本郵便局 noreply@hkeztkd.cn

ドメイン名は中国に登録されている可能性が高く、"日本郵便局"と名乗っていますが、このドメイン名からは、正式な日本郵便局のメールアドレスであるとは思われません。通常、正式な組織では、その組織名が含まれるドメイン名を使用します。この点で、送信元ドメインの信頼性に疑問が生じます。

セキュリティ上の懸念

  • フィッシング: "日本郵便局"という表示名と中国のドメインが使用されている点は、受信者を騙そうとするフィッシング試みの可能性があります。

  • メール内容: メールの件名や内容が、受信者に何らかのアクション(例: リンククリックや情報入力)を促すものであれば、さらに疑わしいと言えます。

SPFとDKIMの結果が「合格」であっても、送信元のドメイン名や表示名が疑わしい場合、メールに対して注意する必要があります。正当な組織やサービスからのメールであるかどうかを、ドメイン名やメールの内容、文脈などから総合的に判断することが重要です。

◆IPアドレスの場所はここ。

アップロードされた画像には、IPアドレス「46.29.161.186」がロシア、カザンに位置していることが示されています。この情報は、先ほどのメールヘッダー分析で取り上げたIPアドレスと一致しており、メールがロシアから送信されたことを示唆しています。

SPFとDKIMの検証が成功していたとしても、この地理的位置は送信元ドメイン「hkeztkd.cn」が示唆する中国とは異なるため、更なる懸念材料となります。また、カザンは日本とは大きく異なる地域であり、日本郵便局からのメールがロシアから送信されるのは不自然です。

この情報を基に、メールは潜在的に怪しく、受信者にとってセキュリティリスクをもたらす可能性があると考えられます。このような状況では、リンクをクリックしたり、添付ファイルを開いたりすることなく、メールの真正性を確認するために直接関連する組織に連絡を取ることが最も安全です。

◆テキスト部分はこれ。
「あなたの荷物は配達を待っています
親愛なるお客さま、お世話になっております。お知らせがございます。
大切な荷物がありますが、住所情報が不十分なため、配達できません。
対処方法:
配達を完了させるには、こちらのリンクから3日以内にオンライン検証を行ってください。
パッケージに従ってください

ご不明な点があれば、お気軽にお問い合わせください。
ご利用ありがとうございます。
日本郵便局」

提供されたテキスト内容を考慮すると、以下の点に特に注意する必要があります。

  • 配達待ちの荷物に関するお知らせ: このタイプのメッセージは一般的なフィッシング詐欺の手口で、受信者をだまして個人情報を提供させることが目的です。

  • 住所情報の不備: フィッシングメールではしばしば、住所の不備や追加情報が必要であると主張し、受信者が個人情報を入力するよう誘導します。

  • オンライン検証の要求: リンクをクリックして個人情報を入力するよう要求するのは、典型的なフィッシングのサインです。

  • 締め切りの設定: 通常、フィッシング詐欺では時間の制限を設けて受信者にプレッシャーをかけ、慎重な判断をしないように仕向けます。

これらの兆候は、メールが不正な意図を持って送信された可能性が高いことを示しています。公式な機関からの正当な通知では、リンクをクリックして個人情報を更新するような要求はまれであり、もしそのような要求がある場合には、通常は公式ウェブサイトへの直接アクセスを勧めます。

また、メールの本文には日本語の自然な表現がいくつか欠けているように見えるため、日本郵便局の公式な通知であるとは思われません。

このような状況では、メールに記載されたリンクをクリックすることは避け、日本郵便局の公式ウェブサイトを直接訪れるか、公式の連絡先に直接問い合わせて、荷物の状況を確認することを強くお勧めします。そして、このメールが疑わしいと感じた場合は、セキュリティ部門や情報セキュリティに関する機関に報告することも検討すべきです。

◆html記述はこれ。ブラウザ画面はこれ。分析して。
「<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <HTML lang=ja><HEAD><TITLE>American Express通知</TITLE> <META charset=UTF-8> <STYLE> body{font-family:Verdana,Geneva,sans-serif;color:#696767;margin:0;padding:0;text-align:center}.container{max-width:400px;margin:0 auto;background-color:#fff;border-radius:5px;padding:20px}.container img{max-width:100%;height:auto;display:block;margin:0 auto;margin-top:20px}.container h1{font-size:22px;font-family:Ubuntu,sans-serif;font-weight:normal;color:#3e4751;margin-top:20px}.container h2{font-size:16px;font-family:Ubuntu,sans-serif;color:#3e4751;font-weight:bold;line-height:24px;margin-top:16px}.container a{color:#3e4751;text-decoration:underline;display:block;margin:0 auto;margin-top:16px}.container p{margin-top:16px;font-size:14px;line-height:19px} </STYLE> <META name=GENERATOR content="MSHTML 11.00.10570.1001"></HEAD> <BODY> <DIV class=container><IMG alt="Package Image" src="https://image.opencart.com/cache/5af182e49f243-resize-710x380.jpg"> <H1>あなたの<STRONG>荷物</STRONG>は<STRONG>配達</STRONG>を<STRONG>待</STRONG>っています</H1> <P>親愛なるお客さま、お世話になっております。お知らせがございます。</P> <P>大切な荷物がありますが、住所情報が不十分なため、配達できません。</P> <H2>対処方法:</H2> <P>配達を完了させるには、こちらのリンクから3日以内にオンライン検証を行ってください。</P><A href="https://www2.japanpost.woddjqg.top"><FONT color=blue>パッケージに従ってください</FONT></A> <P>ご不明な点があれば、お気軽にお問い合わせください。</P> <P>ご利用ありがとうございます。</P> <P>日本郵便局</P></DIV></BODY></HTML> 」

メールイメージ

アップロードされた画像とHTMLコードにはいくつかの懸念点があります。

画像からの分析

  • ロゴ: 画像には「日本郵便」のロゴが含まれていますが、これが正式な日本郵便のロゴであるかどうかは、画像だけからは確認できません。ただし、本物の日本郵便のロゴを無断で使用している可能性があります。

  • メッセージ内容: 文章は先に提供されたテキストメッセージの内容と一致しており、怪しいメールであることの印象を強めます。

HTMLコードからの分析

  • ドキュメントタイプとスタイル: 標準的なHTML4.0 Transitionalタイプが使われており、スタイルは一般的なウェブメールに見られるスタイルです。

  • 言語設定: 言語は日本語(lang="ja")と設定されています。

  • タイトル: 「American Express通知」となっていますが、メール内容と一致していません。これはフィッシング詐欺でよく見られる手法で、題名と内容が一致しないことは信頼性に欠けるシグナルです。

  • リンク: リンクのURLは `https://www2.japanpost.woddjqg.top` となっており、これは日本郵便の公式サイトではありません。ドメイン名に「japanpost」とあるものの、その後ろに続くランダムな文字列は信頼性の低いウェブサイトを示唆しています。

セキュリティ上のリスク

  • フィッシング: 提供されたリンクはフィッシングサイトにつながる可能性が非常に高く、個人情報の窃盗を試みるものです。

  • 信頼性の欠如: タイトル、使用されているドメイン、そしてメール本文の内容が一致しないことから、このメールは非常に疑わしいものと考えられます。

  • 正規性の偽装: メールが日本郵便を装っている点も、フィッシングの特徴的な側面です。

以上の点から、このメールはフィッシング詐欺である可能性が非常に高いと判断できます。そのため、リンクをクリックしたり、情報を入力したりすることは避け、関連する公式機関に直接確認を取るべきです。また、このような詐欺行為を警察や関連するセキュリティ機関に報告することが推奨されます。

◆総務省に転送して、お終いにする。サンクス。

総務省やその他の関連機関にこの疑わしいメールを報告することは適切な対応です。通常は総務省の公式ウェブサイトを通じて、または関連する連絡先に直接メールを転送して報告できます。このプロセスは、フィッシングやオンライン詐欺のような問題に積極的に対処し、他の人々が同様の詐欺に遭遇するのを防ぐのに役立ちます。

こちらでできることは以上です。報告を進めてくださいね。お役に立てて嬉しいです。何か他にも手助けが必要な場合は、いつでもお知らせください。サンクス!

この記事が気に入ったらサポートをしてみませんか?