20240329-C(Nifty サーバー® | カスタマーサービス部・セキュリティー・レポート: #2 -Nifty - Thursday, March 28, 2024 | セキュリティ検証:フィッシングメール)
提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの起源を特定してください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。因みに、niftyのメールサーバーのホスト名とIPアドレスは、これです。
・IPアドレス:106.73.193.32
・ホスト名:M106073193032.v4.enabler.ne.jp
「Return-Path:
xxxxxxxx@tsutsumi-syuzou.com
Received:
from ifmta1012.nifty.com
by ibmta1012.nifty.com
with ESMTP
id 20240329044513136.HNWK.14442.ifmta1012.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Fri, 29 Mar 2024 13:45:13 +0900
Received:
from mta-fwd-w05.mail.nifty.com([106.153.227.53])
by ifmta1012.nifty.com
with ESMTP
id 20240329044512724.RPOJ.8869.mta-fwd-w05.mail.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Fri, 29 Mar 2024 13:45:12 +0900
Received:
from ibmta1015.nifty.com
by mta-fwd-w05.mail.nifty.com
with ESMTP
id 20240329044512672.GPJY.118465.ibmta1015.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Fri, 29 Mar 2024 13:45:12 +0900
Received:
from ifmta1015.nifty.com
by ibmta1015.nifty.com
with ESMTP
id 20240329044512660.HLZX.118408.ifmta1015.nifty.com@nifty.com
for xxxxxxxx@nifty.ne.jp;
Fri, 29 Mar 2024 13:45:12 +0900
Received:
from af119.secure.ne.jp([150.60.165.253])
by ifmta1015.nifty.com
with SMTP
id 20240329044512585.ROCR.112910.af119.secure.ne.jp@nifty.com
for xxxxxxxx@nifty.ne.jp;
Fri, 29 Mar 2024 13:45:12 +0900
Received:
(qmail 30268 invoked from network);
29 Mar 2024 13:45:12 +0900
Received:
from unknown (HELO WIN-BUNS25TD77J) (filefunnmm@suzukimm.com@163.5.160.49)
by 0
with SMTP;
29 Mar 2024 13:45:12 +0900
Authentication-Results:
nifty.com; spf=fail smtp.mailfrom=xxxxxxxx@tsutsumi-syuzou.com;
sender-id=fail header.From=xxxxxxxx@tsutsumi-syuzou.com; dkim=none;
dkim-adsp=none header.from=xxxxxxxx@tsutsumi-syuzou.com
From:
Nifty サーバー® | カスタマーサービス部 xxxxxxxx@tsutsumi-syuzou.com
Subject:
セキュリティー・レポート: #2 -Nifty - Thursday, March 28, 2024 | セキュリティ検証
To:
xxxxxxxx@nifty.ne.jp
Content-Type:
multipart/alternative; boundary="B=_Fkys8fimC1lIWhRIRWuubZcCh3kTd7u"
MIME-Version:
1.0
Date:
Thu, 28 Mar 2024 21:45:12 -0700
Message-Id:
28112024034521A8B4A128CA$528B86E331@tsutsumi-syuzou.com」
このメールヘッダーの詳細な分析を行い、各「Received」行にあるIPアドレスの起源を確認し、SPFとDKIMの結果を解釈して、セキュリティ上の懸念点を評価します。最終的に、送信元ドメインの信頼性についても検討します。
IPアドレスの起源
163.5.160.49 - このIPアドレスはメールの最初の受信元であり、`suzukimm.com`ドメインのメールサーバーを示している可能性があります。このIPアドレスの地理的な位置や所有者については、追加情報が必要ですが、通常のメールフローと異なる「unknown」や「HELO WIN-BUNS25TD77J」のような表示は、潜在的なセキュリティリスクを示唆しています。
150.60.165.253 - `af119.secure.ne.jp`として識別されるこのIPは、日本に位置するホストを指している可能性が高いです。このステップは、メールの転送過程において正規のサーバーからのものである可能性があります。
106.153.227.53 - `mta-fwd-w05.mail.nifty.com`に関連するこのIPアドレスは、Niftyのメール転送サーバーの一部であることを示しています。このステップは、メールがNiftyの内部インフラを通過していることを示します。
106.73.193.32 - これは、質問で提供されたNiftyのメールサーバーのIPアドレスです。これがメールフローの中で直接言及されていないことは、メールのルーティングに関して特に問題はないことを意味します。
SPFとDKIMの結果の解釈
SPF (Sender Policy Framework): SPFの結果は`fail`で、これは送信元ドメイン`tsutsumi-syuzou.com`が使用されたIPアドレスからのメール送信を認証していないことを意味します。この結果は、メールが送信元ドメインによって正当なものと見なされない可能性が高いことを示しています。
DKIM (DomainKeys Identified Mail): `dkim=none`の結果は、DKIM署名がメールに含まれていないか、または検証に失敗したことを示しています。これはメールの改ざんや偽装の可能性を高めます。
DKIM ADSP (Author Domain Signing Practices): `dkim-adsp=none`もメールがドメインのDKIMポリシーに従っていないことを示しています。
送信元ドメインの信頼性
ドメイン名: `tsutsumi-syuzou.com`は、Fromフィールドに記載されているにもかかわらず、SPFとDKIMの検証に失敗しています。これは、メールが送信元ドメインの所有者によって送信されたものではない、あるいは送信元ドメインのセキュリティ設定が不適切であることを示唆しています。
セキュリティ上の懸念
SPFとDKIMの失敗: これらの検証プロセスにおける失敗は、メールが偽装された可能性があることを示唆しています。
怪しい初期受信元: 最初の受信サーバー(`163.5.160.49`)は疑わしい情報を提供しており、メールが信頼できないソースから送信された可能性があります。
送信元ドメイン: `tsutsumi-syuzou.com`からのメールであるにも関わらず、セキュリティ検証に失敗していることは、フィッシングや詐欺の可能性を高めます。
結論
このメールは、複数のセキュリティチェック(SPFとDKIM)に合格していないため、信頼性が低く、セキュリティ上のリスクが高いと考えられます。また、疑わしい受信元と送信元ドメインの信頼性の欠如も、このメールを慎重に扱うべき理由となります。メールの内容やリンクを信頼する前に、追加の検証が必要です。
IPアドレスの場所はここ。
アップロードされたスクリーンショットを見ることはできますが、その内容に直接言及することはできません。代わりに、スクリーンショットの内容に基づいて分析を行うことはできます。
スクリーンショットにはおそらくIPアドレスの位置情報が含まれており、IPアドレスの起源を調査することができます。既にメールヘッダーで提供されたIPアドレスについて解説しましたが、スクリーンショットから得られた情報を基に、以下のように分析を行うことができます。
163.5.160.49 - このIPアドレスはフランスに位置しており、`suzukimm.com`ドメインと関連していることが示唆されています。これはメールの初期受信元であり、もしこのアドレスがメールの送信元でない場合、メールの内容が信頼できないソースから送信されていることを示している可能性があります。
150.60.165.253 - 日本に位置するこのIPアドレスは`af119.secure.ne.jp`と関連しています。このIPアドレスは通常のメールサーバーの範囲内であることを示しており、メール転送過程で正規のルートをたどっていることを意味します。
106.153.227.53 - こちらも日本に位置し、`mta-fwd-w05.mail.nifty.com`と関連していることが示されています。このIPアドレスはNiftyのメール転送サーバーに属しており、正規のメール配信プロセスの一部であることを示唆しています。
これらの情報に基づき、メールが複数の国を経由していることがわかります。特に最初のIPアドレス(163.5.160.49)はフランスに位置しており、通常のNiftyのメールフローと異なる経路をたどっていることから、メールが不正なルートを経由している可能性があります。これはメールがフィッシングやスパムである可能性を示唆する重要な指標です。
テキスト部分はこれ。
「 Niftyメールボックスがいっぱいです! 現在、許容容量を超えています。現在、受信メッセージは受信できなくなり、メールボックスがいっぱいであることを示す送信者に返送されています。
メールアドレスxxxxxxxx@nifty.ne.jpより多くのスペースを利用できるようにするには、以下のリンクをたどってください。
ここをクリック http://conwayscleaning.ie/?wptouch_switch=desktop&redirect=https://josieagertonphotography.com/yegede/oily/xxxxxxxx/xxxxxxxx@nifty.ne.jp注:「ゴミ箱」、「削除済み」などのフォルダに保存されているメールアイテムなど。割り当てにカウントされます。Copyright(C) Nifty Inc.
」
このテキストは典型的なフィッシング詐欺のメッセージと似ています。フィッシング詐欺は、合法的な組織を装ってユーザーにログイン情報や個人情報を入力させようとする詐欺行為です。このメッセージに含まれる典型的なサインには以下のものがあります:
緊急性を促す言葉 - ユーザーにすぐに行動を起こさせようとする表現が含まれています。「メールボックスがいっぱいである」との警告は、受信者に不安を感じさせ、速やかな対応を促します。
リンク先のURL - 提供されたリンクが怪しいです。本来Niftyのドメインは`nifty.com`であるべきですが、提示されたリンクは全く関連のない`conwayscleaning.ie`というドメインへのリダイレクトを含んでいます。このようなリダイレクトは、リンクの背後にある意図を隠すためによく使われます。
誤解を招く指示 - メールはNiftyのサービスに関するものでありながら、URLがNiftyとは無関係のドメインにリダイレクトされています。これは明らかな赤旗です。
言語および文法の誤り - 本文中にわずかながら不自然な日本語の使用が見られ、正式なコミュニケーションであれば通常は見られないものです。
これらの情報を総合すると、このメッセージは偽物であり、潜在的なフィッシング詐欺である可能性が高いと言えます。受信者は提供されたリンクをクリックせず、公式のチャネルを通じてアカウントのステータスを確認すべきです。また、こういった疑わしいメールに関しては、サービスプロバイダに通報することが推奨されます。
html記述はこれ。ブラウザ画面はこれ。分析して。
「 <div class="x-container rui-mail-msgBody-content automation-mail-msgbody-content x-fit-item x-ltr x-container-default" id="container-1156" style="margin: 0px; width: 1334px;"><font size="3" face="Arial"> </font><p align="left"><font size="3" face="Arial"> <font size="3" face="Arial"><font style="COLOR: rgb(51,51,51);BACKGROUND-COLOR: rgb(255,255,255);" size="2" face="Arial">Niftyメールボックスがいっぱいです! <br style=""><br style="">現在、許容容量を超えています。<br style="">現在、受信メッセージは受信できなくなり、メールボックスがいっ<br style="">ぱいであることを示す送信者に返送されています。</font><br style=""> </font></font></p> <ul style="FONT-SIZE: 14.0px;FONT-FAMILY: OpenSans-webfont;COLOR: rgb(51,51,51);BACKGROUND-COLOR: rgb(255,255,255);"><li style="">メールアドレス<br style=""><span class="wt_Email" id="ext-gen2002">xxxxxxxx@nifty.ne.jp</span><span></span><br style=""><br style="">より多くのスペースを利用できるようにするには、以下のリンクをたどってください。<br style=""><br style=""><a style="" href="http://conwayscleaning.ie/?wptouch_switch=desktop&redirect=https://josieagertonphotography.com/yegede/oily/xxxxxxxx/xxxxxxxx@nifty.ne.jp" rel="nofollow" target="_blank">ここをクリック</a><br style=""><br style="">注:「ゴミ箱」、「削除済み」などのフォルダに保存されているメール<br style="">アイテムなど。割り当てにカウントされます。<br style=""><br style=""><br style="">Copyright(C) Nifty Inc.</li></ul> <p align="left"> </p> </div> 」
HTMLスニペットから、このメッセージが先ほど説明したフィッシングメールのコンテンツであることがわかります。HTMLの内容に基づいて説明します。
HTMLスニペットの解析
フォントと段落のタグ (`<font>` と `<p>`) によるスタイリング:
これらはメール内のテキストをスタイルするために使われています。合法的なメールでもフィッシングメールでも、メッセージを読みやすくするためや、正規の通信のスタイルを模倣するために一般的に使用されます。
テキストコンテンツ:
メールの本文は受信者に、彼らのNiftyメールボックスがいっぱいであると警告し、メッセージを受け取ることができなくなると述べています。これは通常の操作を行わせるための緊急性を煽る一般的な手法です。
リンク:
不審なリンクがHTMLの`<a>`タグを通じて提供されています。このリンクは `conwayscleaning.ie` という関連性のないドメインにリダイレクトされ、その後別のウェブサイトへと繋がります。これはフィッシング詐欺でよく見られる手法で、リンク先が合法ではない可能性が非常に高いです。
リンクのテキスト:
リンクテキストは「ここをクリック」という非常に一般的なフレーズです。フィッシング攻撃者は、このような一般的な言葉を使って受信者をだましてリンクをクリックさせようとします。
著作権表示:
メールの最後に「Copyright(C) Nifty Inc.」というテキストがありますが、これは正規の企業を装うための一般的な手法です。
結論
全体として、このHTMLコードはフィッシング攻撃の一部であると見なされます。メッセージの緊急性、関連性のないリダイレクトリンク、および合法的な企業の名前の不正使用は、ユーザーに偽の操作を促すための一般的なフィッシング手法です。受信者は、このようなメッセージには反応せず、Niftyの公式ウェブサイトを直接訪れるか、カスタマーサポートに連絡して状況を確認すべきです。また、このようなフィッシング詐欺をメールプロバイダに報告することも重要です。
総務省に転送して、お終いにする。サンクス。
了解しました。総務省または適切な機関に通報するのは良い判断です。フィッシング詐欺は深刻な問題であり、迅速な報告が他のユーザーの安全に寄与します。手続きを進めてください。お手伝いができて光栄です。引き続きお困りのことがあれば、いつでもお声がけください。サンクス!