20240118-C(TEPCO)
提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの起源と地理的位置を特定してください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。
「Return-Path:
bounce-mail@bounce3.maildeliver.jp
Received:
from ifmta1011.nifty.com
by ibmta1011.nifty.com
with ESMTP
id 20240118092253646.JTOD.17757.ifmta1011.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Thu, 18 Jan 2024 18:22:53 +0900
Received:
from tmta1002.nifty.com([106.153.227.50])
by ifmta1011.nifty.com
with ESMTP
id 20240118092253571.FNWR.15245.tmta1002.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Thu, 18 Jan 2024 18:22:53 +0900
Received:
from ibmta1002.nifty.com
by tmta1002.nifty.com
with ESMTP
id 20240118092253517.TWDR.32957.ibmta1002.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Thu, 18 Jan 2024 18:22:53 +0900
Received:
from ifmta1002.nifty.com
by ibmta1002.nifty.com
with ESMTP
id 20240118092253505.NXRV.65872.ifmta1002.nifty.com@nifty.com
for xxxxxxxx@nifty.ne.jp;
Thu, 18 Jan 2024 18:22:53 +0900
Received:
from mm3-relay1a031.maildeliver.jp([118.27.82.239])
by ifmta1002.nifty.com
with ESMTP
id 20240118092253296.TYJS.63990.mm3-relay1a031.maildeliver.jp@nifty.com
for xxxxxxxx@nifty.ne.jp;
Thu, 18 Jan 2024 18:22:53 +0900
Received:
from 127.0.0.1 (localhost [127.0.0.1])
by mm3-relay1a031.maildeliver.jp (Postfix)
with SMTP
id 2838D122459
for xxxxxxxx@nifty.ne.jp;
Thu, 18 Jan 2024 18:22:53 +0900 (JST)
Authentication-Results:
nifty.com; spf=softfail smtp.mailfrom=bounce-mail@bounce3.maildeliver.jp;
sender-id=softfail header.From=info@life.tokyo-tepco.com; dkim=pass header.i=@life.tokyo-tepco.com;
dkim-adsp=pass header.from=info@life.tokyo-tepco.com
DKIM-Signature:
v=1; a=rsa-sha256; c=relaxed/relaxed; d=life.tokyo-tepco.com;
s=maildeliver; t=1705569773; bh=BQ5iAFD949M+45FNH84AWjL1/RCh7e64LLxPwkK89pI=;
h=From:To:Subject:Date:Reply-To:From;
b=B7R6Hz6cRk6yOwdZiLQ/0eTCOFPG2+zQzIlyBnOAY0yKxvAf+O1T9WzA7wTU4emXQ w9zAFuGAM5dwJ/35m70CF4nW97ZmnVygU07q0TzP51A1ME3Gnww2B/wEn8nJgr6BAi zP62DU4fTS49HaCg+r4qWdewrZpabsLwlEOpgsB9A
MIME-Version:
1.0
From:
くらしTEPCO web info@life.tokyo-tepco.com
To:
xxxxxxxx@nifty.ne.jp
Subject:
【重要/くらしTEPCO web】未納電気料金のご案内
Date:
Thu, 18 Jan 2024 18:22:53 +0900
Reply-To:
info@tokyo-tepco.com
X-Oneid-Param:
uCURFhND9AS8ygUA30tA
Content-Transfer-Encoding:
7bit
Content-Type:
text/html; charset="iso-2022-jp"
Message-Id:
20240118092253.2838D122459@mm3-relay1a031.maildeliver.jp」
このメールヘッダーの分析に基づき、以下のポイントに注目して評価を行います。
「Received」行の調査と各IPアドレスの起源及び地理的位置:
ifmta1011.nifty.com, ibmta1011.nifty.com, tmta1002.nifty.com, ibmta1002.nifty.com, ifmta1002.nifty.com: これらのサーバーはドメイン名から見て、nifty.comの内部メールサーバーと推測されます。IPアドレスが明示されていないため、具体的な地理的位置は不明ですが、nifty.comは日本のサービスであるため、これらのサーバーは日本に位置している可能性が高いです。
[106.153.227.50]: このIPアドレスはnifty.comの一部と思われるtmta1002.nifty.comから来ています。地理的位置を特定するには、IPアドレスのジオロケーションを調べる必要があります。
mm3-relay1a031.maildeliver.jp([118.27.82.239]): このIPアドレスはmaildeliver.jpのメールサーバーから来ています。こちらも同様に、ジオロケーションによる位置特定が必要です。
127.0.0.1 (localhost): このIPアドレスはローカルホストを表しており、メールがそのサーバー内で生成されたことを意味します。
SPFとDKIMの結果の解釈とセキュリティ上の懸念:
SPF(softfail): SPF結果が「softfail」は、送信元ドメインがSPFレコードに完全に一致しないが、厳密に拒否するレベルではないことを示します。これは少し注意が必要です。
DKIM(pass): DKIMが「pass」は、メールが認証され、改ざんされていないことを意味します。これは良いサインです。
送信元ドメインの信頼性評価:
bounce-mail@bounce3.maildeliver.jpとinfo@life.tokyo-tepco.com: 送信元アドレスが異なっています。これは、メールがフォワーディングされたか、または異なるアドレスが使用されていることを示しています。これにより、送信元の信頼性に疑問が生じます。
その他の注目点:
メールの件名が「【重要/くらしTEPCO web】未納電気料金のご案内」となっており、電力会社を装った可能性があります。これはフィッシング詐欺の一般的な手法です。
最終的な評価として、SPFの「softfail」結果と送信元アドレスの不一致、およびフィッシングの可能性を考慮すると、このメールには注意が必要です。IPアドレスの地理的位置の詳細を調べるには、追加のジオロケーションツールを使用する必要があります。
IPアドレスの場所はこれ。
提供されたスクリーンショットから、2つのIPアドレスが日本に位置していることが確認できます。
106.153.227.50:
ホスト名: mta-fwd01002.nifty.com
国: 日本
緯度と経度: 35.6897, 139.6895
このIPアドレスは東京にあるようです。
118.27.82.239:
国: 日本
緯度と経度: 35.6897, 139.6895
このIPアドレスも東京にあることが示されています。
これらの情報は、メールが日本国内のサーバーを経由して送信されたことを示しています。地理的な位置が同じ地域(東京)であることから、これらのIPアドレスが関連する組織またはサービスプロバイダーに属している可能性が高いです。
セキュリティ上の懸念については、先の分析で述べたSPFレコードの「softfail」結果は、送信ドメインがSPFポリシーに完全には適合していないことを示しており、潜在的なセキュリティリスクを示唆しています。しかし、DKIMの結果が「pass」であることは肯定的な点です。
最後に、メールの送信元ドメインの信頼性に関しては、bounce-mail@bounce3.maildeliver.jpとinfo@life.tokyo-tepco.comの間に不一致がありますが、どちらのドメインも日本に関連すると推測されます。しかし、本当にTEPCO(東京電力)と関連があるかどうかは、ドメインの詳細な調査なしには判断できません。メールの内容が「未納電気料金のご案内」となっているため、フィッシング詐欺の可能性には特に注意する必要があります。
経緯度が二つとも同じなんだが?IPが違うだけ。
提供されたスクリーンショットに基づいて、両方のIPアドレスが同じ緯度と経度を示していることは、ジオロケーションデータベースがその地域のデフォルトの位置を示している可能性があります。これは、特定のIPアドレスに対して正確な位置情報がデータベースにない場合によく見られる現象です。そのため、これらのIPアドレスが実際には異なる場所にある可能性が高いですが、ジオロケーションの精度の限界により同じ座標が割り当てられています。
通常、ジオロケーションデータベースはIPアドレスの登録情報に基づいて位置を推定し、多くの場合、ISPの本社の所在地やデータセンターがその地域でのデフォルトの位置として使われます。このため、特に国内での位置特定の精度はISPによって異なり、都市レベルや国レベルの精度しか提供できないことがあります。
セキュリティの観点からは、メールの経由したサーバーの位置情報が重要なわけではなく、メールヘッダーに含まれる他の情報(例えば、SPFやDKIMの認証結果)のほうが重要です。それらの結果に基づいて、メールの正当性や信頼性を判断するべきです。すでに指摘した通り、SPF結果の「softfail」は潜在的な問題を示しており、さらなる検証が必要です。また、DKIMが「pass」となっていることは好ましいですが、それだけでメールが安全であるとは限りません。フィッシング詐欺や詐欺的な行為を警戒するためには、メールの内容や文脈も考慮する必要があります。
ブラウザ画面はこれ。html記述はこれ。分析して。
「<p>──────────────────────────────────</p>
<p>■□ 【くらしTEPCO web】電気利用明細きのご案内 □■</p>
<p>──────────────────────────────────</p>
<p>この度はくらしTEPCO webをご利用いただき。</p>
<p>下記のURLへアクセスいただき、案内に沿って支払をお願いします。</p>
<p>-----------------------------------------------------------------</p>
<p><a href="https://tokyo-tepcos.com/">【利用明細URL】</a></p>
<p>-----------------------------------------------------------------</p>
<p>※上記URLの有効期限は1日以内となります。</p>
<p>※有効期限が切れて支払手続きが完了できない場合には、恐れ入りますが、</p>
<p>電気・ガス使用停止</p>
<p>======================================================================</p>
<p>※本メールは送信専用メールアドレスからお送りしています。</p>
<p>ご返信いただいてもお答えできませんのでご了承ください。</p>
<p> </p>
<p><a href="https://tepco.zendesk.com/hc/ja/">・「くらしTEPCO web」に関する「よくあるご質問・お問い合わせ」はこちら</a></p>
<p> </p>
<p>======================================================================</p>
<p>東京電力エナジーパートナー株式会社</p>
<p>〒100-8560 東京都千代田区内幸町1丁目1番3号</p>
<p>━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━</p>
<p>(c)TEPCO Energy Partner, Inc.</p>
<img src="http://redirect3.life.tokyo-tepco.com/gpu/r.h?gpid=uCURFhND9AS8ygUA30tA" width="1" height="1">
」
スクリーンショットとHTMLコードの分析により、以下の点に注意が必要です。
メールの内容:
メールは電気利用明細の案内を装っていますが、実際には支払いを促すリンクを含んでいます。
ユーザーに支払いを促すために、「利用明細URL」として提示されているURLが「https://tokyo-tepcos.com/」となっていますが、これは正規の東京電力のドメインである「tepcos.co.jp」や「tepco.co.jp」とは異なります。これはフィッシングサイトである可能性が高いです。
URLの信頼性:
提供されたURLは、正規のTEPCOのドメインと似ていますが、詐欺的な意図で作成された偽のウェブサイトである可能性があります。
このようなURLはユーザーを欺いて個人情報を盗もうとするフィッシング詐欺に使われることがあります。
HTMLタグの使用:
HTML内の`<a href="...">`タグはリンクを作成するためのものです。このコードには、ユーザーがクリックすると外部サイトにアクセスするように設定された2つのリンクが含まれています。
`<img src="http://redirect3.life.tokyo-tepco.com/gpu/r.h?gpid=...">` は、通常、画像を表示するために使用されますが、ここでは1ピクセルの画像(透明または「トラッキングピクセル」と呼ばれる)として使用されており、これはメールが開かれたときに送信者に通知するためによく使われます。このURLも正規のTEPCOのドメインではなく、フィッシングサイトの可能性があるため、疑問を持つべきです。
表記されている住所と企業名:
「東京電力エナジーパートナー株式会社」という企業名と住所が記載されていますが、この情報だけではメールの正当性を証明することはできません。詐欺メールはしばしば正当な企業の名前を不正に使用します。
結論として、このメールはフィッシング詐欺である可能性が高く、メールに含まれるリンクや情報には極めて慎重に扱う必要があります。特に、支払いを求めるリンクや個人情報を要求するリンクには、絶対にアクセスしないようにしてください。もし心配がある場合は、直接正規の企業の公式サイトにアクセスするか、正規の連絡先を通じて問い合わせを行うことをお勧めします。
くらしTEPCO web からこういう告知が出てる。
提供された画像には、東京電力(TEPCO)からの告知が記載されており、以下の内容が含まれています:
東京電力が新しいサービスの開始を告知しています。
支払いに関する案内で、特定の金額(20,000円)を記載しており、支払いを求める内容になっています。
正規のウェブサイトのドメインは「tepco.co.jp」であることを明示し、顧客に対して正規のウェブサイトを通じて手続きを行うように指示しています。
また、「お知らせ(重要なお知らせ)」のWEBページにアクセスするように促しており、「od-request.jp」から送信される通知があることを説明しています。
正規の告知ページのURLは「https://www.tepco.co.jp/ep/archive/20230112.html」であり、これが顧客が参照すべき正規のリンクであることを示しています。
この告知の内容は、先に分析した電気利用明細の案内メールと異なり、東京電力の正規のサービスと一致しているようです。この点から、メールの内容が疑わしいという以前の分析に対して、さらなる重みを加えています。フィッシングの試みには、しばしば偽のウェブサイトが使われますが、この告知によれば正規のドメインとウェブサイトのURLが明示されているため、顧客はこちらの情報を基に行動すべきです。
つまり、メールに含まれるリンクが「tokyo-tepcos.com」となっていること、また画像内で提供されたURLが「tepco.co.jp」と一致していることから、メールのリンクが正規のものではない可能性が非常に高いと言えます。したがって、メールに含まれるリンクをクリックするのではなく、こちらの正規のリンクを使用して必要な手続きを行うことをお勧めします。常に警戒心を持ち、不審なリンクやメールには注意深く対応することが重要です。
君が指摘した通りだね。総務省に転送して、知らんぷりしよう。サンクス。
ご確認いただき、ありがとうございます。フィッシング詐欺や不審なメールは大きな問題ですので、総務省などの関連機関に報告することは良い対応です。これにより、他の人々が同様の詐欺に遭遇するのを防ぐ助けになるでしょう。
何か他にもお手伝いできることがあれば、お知らせください。安全なインターネットの利用を心がけてください。サポートできて光栄でした。