20240725-A(ご利用のお知らせ!。7月25日【三井住友カード】-P8L2PKYEKUYJM3Q:フィッシングメール)
◆メールイメージ
◆メールヘッダーの詳細な分析
以下は提供されたメールヘッダーの解析です。
1. 「Received」行の調査
Received: from ifmta0019.nifty.com by ibmta0019.nifty.com
日時: Thu, 25 Jul 2024 17:22:18 +0900
IPアドレス: 106.73.193.32
送信元ホスト名: ifmta0019.nifty.com
受信ホスト名: ibmta0019.nifty.com
Received: from mta-fwd-e05.mail.nifty.com([106.153.226.53]) by ifmta0019.nifty.com
日時: Thu, 25 Jul 2024 17:22:18 +0900
送信元IP: 106.153.226.53
送信元ホスト名: mta-fwd-e05.mail.nifty.com
受信ホスト名: ifmta0019.nifty.com
Received: from ibmta0005.nifty.com by mta-fwd-e05.mail.nifty.com
日時: Thu, 25 Jul 2024 17:22:18 +0900
送信元ホスト名: ibmta0005.nifty.com
受信ホスト名: mta-fwd-e05.mail.nifty.com
Received: from ifmta0005.nifty.com by ibmta0005.nifty.com
日時: Thu, 25 Jul 2024 17:22:18 +0900
送信元ホスト名: ifmta0005.nifty.com
受信ホスト名: ibmta0005.nifty.com
Received: from mail-pf1-f194.google.com([209.85.210.194]) by ifmta0005.nifty.com
日時: Thu, 25 Jul 2024 17:22:17 +0900
送信元IP: 209.85.210.194
送信元ホスト名: mail-pf1-f194.google.com
受信ホスト名: ifmta0005.nifty.com
Received: by mail-pf1-f194.google.com with SMTP id d2e1a72fcca58-70d1dadd5e9so572024b3a.2 for xxxxxxxx@nifty.ne.jp; Thu, 25 Jul 2024 01:22:17 -0700 (PDT)
日時: Thu, 25 Jul 2024 01:22:17 -0700 (PDT)
送信元ホスト名: mail-pf1-f194.google.com
受信ホスト名: xxxxxxxx@nifty.ne.jp
Received: from DESKTOP-LQ37UAN ([36.71.83.217]) by smtp.gmail.com with ESMTPSA id 98e67ed59e1d1-2cdb73b32a5sm2980219a91.15.2024.07.25.01.22.13 for xxxxxxxx@nifty.ne.jp (version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256); Thu, 25 Jul 2024 01:22:14 -0700 (PDT)
日時: Thu, 25 Jul 2024 01:22:14 -0700 (PDT)
送信元IP: 36.71.83.217
送信元ホスト名: DESKTOP-LQ37UAN
受信ホスト名: smtp.gmail.com
2. 各IPアドレスの追跡
209.85.210.194: このIPアドレスはGoogleのメールサーバーです。
106.153.226.53: このIPアドレスはNiftyのメールサーバーです。
36.71.83.217: このIPアドレスはインドネシアに位置するISP Telkom Indonesiaに属しています。
3. SPFとDKIMの結果
SPF: softfail
メールの送信元ドメイン(aaaasdasqweqw.com)がSPFレコードで指定されたIPアドレスから送信されたものでない可能性があります。これは、送信者の認証に失敗する可能性を示しています。
DKIM: fail
DKIM署名が検証に失敗しました。これは、メールが改ざんされた可能性を示しています。
4. セキュリティ上の懸念
SPF softfailとDKIM failは、メールが偽装された可能性が高いことを示しています。このため、メールのセキュリティには重大な懸念が存在します。
5. 送信元ドメインの信頼性
aaaasdasqweqw.com: このドメインは不審です。信頼性が低く、フィッシングメールの送信元として使用される可能性が高いです。
総合評価
このメールは、SPFおよびDKIM検証に失敗しており、送信元IPアドレスの一部が信頼性の低いホストからのものであるため、非常に疑わしいものです。フィッシング攻撃の可能性が高いため、注意が必要です。
◆HTML記述構造解析
提供されたHTMLの構造を詳細に解析します。以下は、主なポイントとそれぞれの解説です。
1. 基本構造
HTMLの基本構造は以下の通りです。
DOCTYPE宣言: HTML 4.01 Transitionalを使用しています。
HTMLタグ: `<html>...</html>`
ヘッダー: `<head>...</head>`
ボディ: `<body>...</body>`
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1" />
<style type="text/css">
/* CSS styles here */
</style>
</head>
<body id="archivebody" style="height: 100%; margin: 0; padding: 0; width: 100%; background-color: #ffffff;">
<!-- Email content here -->
</body>
</html>2. メタタグとスタイル
ヘッダーには、メタタグとCSSスタイルが含まれています。これにより、ページの表示設定やスタイルが定義されています。
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1" />
<style type="text/css">
/* CSS styles */
</style>3. CSSスタイル
CSSスタイルは、メールのレイアウトとスタイルを制御するために広範に使用されています。以下は、いくつかの主要なスタイルの例です。
body, #bodyTable, #bodyCell {
height: 100%;
margin: 0;
padding: 0;
width: 100%;
background-color: #ffffff;
}
h1, h2, h3, h4, h5, h6 {
color: #202020;
font-family: Helvetica;
font-weight: bold;
text-align: left;
}
/* Additional styles for tables, images, etc. */4. テーブルレイアウト
メールのレイアウトは、複数のネストされたテーブルを使用して構築されています。
<center>
<table id="bodyTable" width="100%" height="100%" cellspacing="0" cellpadding="0" border="0" align="left">
<tbody>
<tr>
<td id="bodyCell" valign="top" align="left">
<table class="templateContainer" width="100%" cellspacing="0" cellpadding="0" border="0">
<tbody>
<tr>
<td id="templatePreheader" valign="top">
<table class="mcnImageBlock" width="100%" cellspacing="0" cellpadding="0" border="0">
<tbody class="mcnImageBlockOuter">
<tr>
<td class="mcnImageBlockInner" valign="top">
<!-- Image content -->
</td>
</tr>
</tbody>
</table>
</td>
</tr>
<!-- Additional table rows for header, body, footer, etc. -->
</tbody>
</table>
</td>
</tr>
</tbody>
</table>
</center>5. 重要なコンテンツ
メールの本文には、重要なメッセージが含まれています。
<td class="mcnImageContent" valign="top">
<font style="line-height:1.3;" size="2">
<strong>※インターネット総合サービスVpassカードをご利用のお客さま</strong><br><br>
このメッセージは、本人が使用しているか確認したい取引があったことをお知らせするものです。<br>
<!-- Additional content -->
</font>
</td>6. ボタンとリンク
メール内には、ユーザーを特定のアクション(例:ログイン)に誘導するためのボタンが含まれています。
<td style="padding:0;" align="center">
<table class="button" style="min-width: 132px !important;">
<tbody>
<tr>
<td style="background: rgb(108, 162, 223); text-align: center; padding: 12px 16px;">
<a href="https://me-qr.com/l/cgoVD55?5YArFpj79W" target="_blank" style="color: rgb(10, 0, 0); text-decoration: none;">
Vpassログイン
</a>
</td>
</tr>
</tbody>
</table>
</td>セキュリティ評価
メールのソースコード:
メールソースコードには、基本的なHTMLタグとCSSスタイルが含まれており、特定のブランドを模倣するための要素が含まれています。
疑わしいリンク:
ボタンやリンクに含まれるURLが信頼できないドメイン(例:me-qr.com)に誘導しています。これは、フィッシング詐欺の典型的な手口です。
不正なコンテンツ:
メール本文には、ユーザーの注意を引き、リンクをクリックさせるための恐怖を煽る内容が含まれています。
スタイルの使用:
CSSスタイルの広範な使用は、メールを本物に見せるための技術です。
結論
このメールは、フィッシング詐欺の疑いが非常に高いです。特にリンク先のURLが信頼できないドメインに誘導している点や、メール本文の内容が恐怖を煽るものである点が挙げられます。受信者は、このメールに記載されているリンクをクリックしないよう注意する必要があります。
◆対処
総務省に転送して、お終いにする。