20240714-B(不正利用からアカウントを保護するために追加情報が必要【三井住友カード】:フィッシングメール)
◆メールイメージ
◆メールヘッダー解析
1. 「Received」行の調査とIPアドレスの追跡
Received: from ifmta0006.nifty.com by ibmta0006.nifty.com
Timestamp: Sun, 14 Jul 2024 18:22:08 +0900
送信元: ifmta0006.nifty.com
受信元: ibmta0006.nifty.com
Received: from mta-fwd-w02.mail.nifty.com([106.153.227.50]) by ifmta0006.nifty.com
Timestamp: Sun, 14 Jul 2024 18:22:07 +0900
送信元: mta-fwd-w02.mail.nifty.com ([106.153.227.50])
受信元: ifmta0006.nifty.com
Received: from ibmta1002.nifty.com by mta-fwd-w02.mail.nifty.com
Timestamp: Sun, 14 Jul 2024 18:22:07 +0900
送信元: ibmta1002.nifty.com
受信元: mta-fwd-w02.mail.nifty.com
Received: from ifmta1002.nifty.com by ibmta1002.nifty.com
Timestamp: Sun, 14 Jul 2024 18:22:07 +0900
送信元: ifmta1002.nifty.com
受信元: ibmta1002.nifty.com
Received: from qpfsgsvbcx.com([157.7.142.222]) by ifmta1002.nifty.com
Timestamp: Sun, 14 Jul 2024 18:22:06 +0900
送信元: qpfsgsvbcx.com ([157.7.142.222])
受信元: ifmta1002.nifty.com
2. SPFとDKIMの結果の解釈
SPF (Sender Policy Framework)
Result: softfail
Explanation: メール送信者のドメイン(qpfsgsvbcx.com)の送信元IPアドレスが認証に失敗していますが、完全な失敗ではなくソフトな失敗です。これは、送信元IPアドレスが許可されていないが、メールを受信拒否するほどではないことを示しています。
DKIM (DomainKeys Identified Mail)
Result: pass
Explanation: DKIM署名は有効です。これは、送信元ドメイン(qpfsgsvbcx.com)が正しい署名を持っており、メールの内容が改ざんされていないことを示しています。
3. セキュリティ上の懸念
SPFのソフト失敗は懸念材料です。SPF認証が完全に成功しない場合、送信元が偽装されている可能性があります。さらに、ドメイン(qpfsgsvbcx.com)が疑わしいドメインである可能性があります。
4. 送信元ドメインの信頼性評価
ドメイン: qpfsgsvbcx.com
ドメイン評価: このドメインは疑わしいです。三井住友カードの公式ドメインとは異なるため、フィッシングメールの可能性が高いです。
IPアドレスの追跡
157.7.142.222 (qpfsgsvbcx.com)
Location: Japan
ISP: GMO Internet, Inc.
このIPアドレスは、GMOインターネットのものです。フィッシングメールの送信元として使用される可能性が高いです。
結論
提供されたメールヘッダーの分析結果から、このメールはフィッシングメールである可能性が高いと考えられます。以下の点がその理由です:
SPF認証がsoftfail。
送信元ドメイン(qpfsgsvbcx.com)が信頼性に欠ける。
メールの内容が公式の三井住友カードのドメインと一致しない。
総務省にこのメールを転送することをお勧めします。
◆HTML記述構造解析
HTML構造を分析し、フィッシングメールの特徴を確認します。
1. HTMLの構造と内容
タイトルとメタ情報
<head>
<title>Have a good Cashless. 三井住友カード</title>
<meta content="text/html; charset=utf-8" http-equiv=Content-Type>
</head>タイトル: 三井住友カードの公式サイトのように見せかけている。
メタタグ: UTF-8エンコーディング。
ボディの基本設定
<body style="font-size:12px;text-align:center;" bottomMargin=0 leftMargin=0 rightMargin=0 link=#0033cc topMargin=0 bgColor=#ffffff text=#333333>スタイル: テキストの中心揃え、フォントサイズ12px、背景色白、テキスト色333333(濃いグレー)。
メインコンテンツ
<table class=stylingblock-content-wrapper style="min-width:100%;" cellSpacing=0 cellPadding=0 width="100%">
<tbody>
<tr>
<td class="stylingblock-content-wrapper camarker-inner"></td>
</tr>
</tbody>
</table>テーブル: メール全体のレイアウトを定義。
2. スタイルとレイアウトの設定
<style type=text/css>
<!--
/* Resets: see reset.css for details */
body { -webkit-text-size-adjust:none; -ms-text-size-adjust:none; margin:0; padding:0; }
table { border-spacing:0; }
table th { border-collapse:collapse; }
th, td { font-size:12px; line-height:1.5; color: #000000; font-weight:normal; font-family:'ヒラギノ角ゴ Pro W3', 'Hiragino Kaku Gothic Pro', 'メイリオ', Meiryo, arial, Osaka, 'MS Pゴシック', 'MS PGothic', sans-serif; margin:0; padding:0; }
font { font-weight:normal; }
td, img { vertical-align:top; }
-->
</style>リセットCSS: デフォルトのブラウザスタイルをリセット。
フォント: 日本語のWebフォントが使用されており、見た目が公式サイトのように見える。
3. コンテンツの主要部分
ヘッダー
<table cellSpacing=0 cellPadding=0 width=640 border=0>
<tbody>
<tr>
<td align=center>
<table align=center>
<tbody>
<tr>
<td style="font-size:10px;line-height:1;" height=45> </td>
</tr>
<tr>
<td style="font-size:0px;vertical-align:middle;text-align:center;line-height:1;" height=51>
<a href="#" target=_self>
<img style="vertical-align:top;" border=0 alt="Have a good Cashless. SMBC 三井住友カード" src="data:image/png;base64,...">
</a>
</td>
</tr>
<tr>
<td style="font-size:10px;line-height:1;" height=43> </td>
</tr>
</tbody>
</table>
</td>
</tr>
<tr>
<td style="font-size:20px;border-bottom:#d1d1d1 2px solid;font-weight:bold;color:#333333;padding-bottom:18px;text-align:left;padding-top:0px;padding-left:21px;line-height:1.5;padding-right:0px;">
nbb01514@nifty.ne.jp 様
</td>
</tr>
</table>ロゴと挨拶文: 三井住友カードのロゴと個別の挨拶が含まれている。
メインバナー
<tr>
<td style="font-size:0px;line-height:1;" align=center>
<a href="https://wmxdpvbpup.com" target=_blank>
<img border=0 alt=一定期間ご確認いただけない場合、口座取引を制限させていただきます src="data:image/png;base64,...">
</a>
</td>
</tr>リンク: クリックを促すリンク。リンク先が公式ドメインと異なるため、フィッシングの可能性が高い。
本文
<tr>
<td style="font-size:20px;vertical-align:top;color:#333333;line-height:2;" vAlign=top align=center>
いつも弊社カードをご利用いただきまして、<br>誠にありがとうございます。<br><br>お客さまのWEBサイトのご利用につきまして、パスワード等の入力相違が続きましたので、本日より当社サイトのご利用(WEB、スマートフォン 共通)を一時制限させていただきました。<br><br>お客さまにはお手数をおかけいたしますが、本人確認後、制限を解除することができますので、 何卒ご理解とご協力をお願い申しあげます。 <br><br>本人確認をご希望の方は、以下をクリックしてご本人様確認を行ってください。
</td>
</tr>本文: アカウント制限に関する情報と、リンクをクリックして確認するよう促す内容。
ボタン
<tr>
<td style="font-size:0px;line-height:1;" align=center>
<a href="https://wmxdpvbpup.com" target=_blank>
<img border=0 alt=ご本人様の確認はこちらへ src="data:image/png;base64,...">
</a>
</td>
</tr>
<tr>
<td style="font-size:18px;vertical-align:top;color:#707070;line-height:1.5;" vAlign=top align=center>
※確認には、Vpassへのログインが必要です
</td>
</tr>リンクボタン: 再度、フィッシングリンクが含まれている。
4. フッターと追加情報
<tr>
<td style="font-size:16px;vertical-align:top;color:#666666;line-height:1.5;" vAlign=top align=left>
■発行者
</td>
</tr>
<tr>
<td style="font-size:16px;vertical-align:top;color:#00846d;line-height:1.5;" vAlign=top align=left>
<a style="text-decoration:underline;color:#00846d;" target=_self>三井住友カード株式会社</a>
</td>
</tr>
<tr>
<td style="font-size:16px;vertical-align:top;color:#666666;line-height:1.5;" vAlign=top align=left>
〒135-0061 東京都江東区豊洲2丁目2番31号 SMBC豊洲ビル
</td>
</tr>発行者情報: 正規の情報を含んでいるが、リンク先が異なるため、フィッシングの可能性が高い。
フィッシングメールの特徴
公式ドメインと異なるリンク: 公式の三井住友カードのドメインではないリンクが含まれている。
個別の挨拶: 受信者のメールアドレスを含む挨拶文がある。
アカウント制限の警告: アカウント制限を解除するためのリンククリックを促す。
公式風のデザイン: 正規のメールに見えるようにデザインされているが、詳細を確認すると公式とは異なる部分が見つかる。
このメールはフィッシングメールである可能性が非常に高いです。リンクをクリックしないようにし、総務省や三井住友カードに報告することをお勧めします。
◆対処
総務省に転送して、お終いにする。