見出し画像

20240303-A(【重要】三井住友カードからの重要なセキュリティ更新:フィッシングメール)

ヒル

提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの起源を特定してください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。IPアドレスの起源の特定は、私がやります。
「Return-Path:
Kirk-xxxxxxxx@elliott-two.51jiang.com
Received:
from ifmta0009.nifty.com
by ibmta0009.nifty.com
with ESMTP
id 20240303021900315.JVXJ.19574.ifmta0009.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Sun, 3 Mar 2024 11:19:00 +0900
Received:
from elliott-two.51jiang.com([117.50.7.42])
by ifmta0009.nifty.com
with ESMTP
id 20240303021900097.ZYGT.17098.elliott-two.51jiang.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Sun, 3 Mar 2024 11:19:00 +0900
Received:
from 10-9-22-121 (10.9.22.121)
by elliott-two.51jiang.com
id hsff180001gl
for xxxxxxxx@xxxxx.nifty.ne.jp;
Sun, 3 Mar 2024 10:18:59 +0800 (envelope-from Kirk-xxxxxxxx@elliott-two.51jiang.com)
Authentication-Results:
nifty.com; spf=fail smtp.mailfrom=Kirk-xxxxxxxx@elliott-two.51jiang.com;
sender-id=fail header.From=Kirk-xxxxxxxx@elliott-two.51jiang.com;
dkim=neutral reason="no\ key\ for\ signature" header.i=@elliott-two.51jiang.com;
dkim-adsp=none header.from=Kirk-xxxxxxxx@elliott-two.51jiang.com
DKIM-Signature:
v=1; a=rsa-sha1; c=relaxed/relaxed; s=mykey; d=elliott-two.51jiang.com;
h=Date:To:From:Subject:Message-ID:MIME-Version:Content-Type; bh=JAPhe3X/gfVuXWeHjGYU5XvOqT0=;
b=Jpkwc4Af8Y7pCYBw1hy9TrL482eIggxHe4hJOZqmlzqCHF7vZrmDkL0AEiRqFDT7+0HX7/kbA1ca IIZWCcN05I9XvwXKA1jYT/41IlzeWrSjJSteuc7kDiIZhuQjBSrOIbBpSi9unr/4iODJ59OvYOeV 9C7ZeTkKJYxMJrIXStA=
Date:
Sun, 3 Mar 2024 10:18:59 +0800
To:
xxxxxxxx@xxxxx.nifty.ne.jp
From:
三井住友カード Kirk-xxxxxxxx@elliott-two.51jiang.com
Subject:
【重要】三井住友カードからの重要なセキュリティ更新
Message-ID:
6245465bb785cd5d00158085c8ca738a@10-9-22-121
MIME-Version:
1.0
Content-Type:
multipart/alternative; boundary="b1_6245465bb785cd5d00158085c8ca738a"」

このメールヘッダーには、いくつかの重要な情報が含まれており、それぞれの部分を詳しく分析することが重要です。分析のポイントは、受信(Received)行の調査、SPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)の結果の解釈、そして送信元ドメインの信頼性の評価です。

受信(Received)行の調査

  1. 最初の受信行:

    • 送信元: `elliott-two.51jiang.com` (IPアドレス: 117.50.7.42)

    • 受信サーバー: `ifmta0009.nifty.com`

    • 日時: Sun, 3 Mar 2024 11:19:00 +0900

    • このIPアドレスは外部のサーバーからのメールを示しており、そのサーバーがメールをnifty.comのメールサーバーに送信したことを示しています。

  2. 二番目の受信行:

    • 送信元: 内部IPアドレス (10.9.22.121)

    • 受信サーバー: `elliott-two.51jiang.com`

    • 日時: Sun, 3 Mar 2024 10:18:59 +0800

    • この行は、メールが内部ネットワークから`elliott-two.51jiang.com`に送信されたことを示しています。このIPはプライベートIPであり、インターネット上での起源を特定することはできません。

SPFとDKIMの結果の解釈

  • SPF: `fail`

    • 送信元ドメインがこのメールの送信に使用されたIPアドレスを認証していないことを示しています。これはセキュリティ上のリスクを示唆しています。

  • DKIM: `neutral reason="no\ key\ for\ signature"`

    • ドメイン`elliott-two.51jiang.com`のDKIM署名が見つからない、または検証に失敗したことを意味します。これにより、メールの真正性を確認することができません。

  • DKIM-ADSP: `none`

    • このドメインにはDKIMによるメールの処理ポリシーが設定されていないことを示しています。

送信元ドメインの信頼性の評価

  • 送信元ドメイン: `elliott-two.51jiang.com`

    • このドメインは一般的に認識される企業や組織のものではなく、特にメールの内容が「三井住友カードからの重要なセキュリティ更新」と主張しているにも関わらず、そのドメイン名から信頼性を判断するのは難しいです。

セキュリティ上の懸念

  • SPFの検証失敗とDKIMの署名がない(または検証に失敗している)点は、このメールが偽装された可能性が高いことを示唆しています。

  • 送信元ドメインの信頼性が低く、メールの内容とドメイン名が一致しないため、フィッシング詐欺の可能性が考えられます。

結論

このメールは複数のセキュリティ上の警告信号を発しており、受信者にとって危険性がある可能性が高いです。メールの内容に対して行動を起こす前に、信頼できる方法(例えば、公式ウェブサイトを通じ

て、または既知の連絡先情報を使用して)で企業に直接確認することを強くお勧めします。

IPアドレスの場所はここ。

アップロードされた画像を見ると、2つのIPアドレスに関する情報が示されています。分析を行い、セキュリティの観点から評価を行います。

  1. 117.50.7.42:

    • ホスト名: `ga59bukoi.cn`

    • 国: 中国 (China)

    • 緯度、経度: 34.7732, 113.722

    • この情報は、このIPアドレスが中国に位置していることを示しています。ホスト名は.cnドメインを使用しており、これは中国の国コードトップレベルドメインです。国際的に展開している多くの合法企業が中国にサーバーを持っていますが、スパムやフィッシングを行うサーバーが中国に存在することも一般的です。このIPアドレスがSPFの検証に失敗していることを考えると、セキュリティ上のリスクがあると考えられます。

  2. 10.9.22.121:

    • ホスト名: `ip-10-9-22-121.ap-northeast-1.compute.internal`

    • このIPアドレスはプライベートアドレス範囲に属しており、通常はインターネット上ではなく、ローカルネットワークやクラウド内のインフラストラクチャで使用されます。ホスト名からは、おそらくAWS(Amazon Web Services)の内部ネットワークで使われていることが推測されます(`ap-northeast-1`はAWSのアジアパシフィック(東京)リージョンを指す)。このIPアドレスが直接インターネット上での通信に関与しているわけではないため、外部から直接アクセスすることはできません。

セキュリティ上の懸念

  • 117.50.7.42のIPアドレスがメール送信に使用されており、SPF検証に失敗していることは、このメールが正当な送信者からのものではない可能性があることを示唆しています。

  • メールのDKIM署名が「neutral」で、「no key for signature」という理由があることは、メールの送信者がDKIMを正しく設定していないか、署名を意図的に回避している可能性があります。

結論

提供された情報とメールヘッダーの分析に基づいて、このメールはフィッシングやスパムである可能性が高いと言えます。受信者は慎重に対応し、メールに記載されているリンクをクリックしたり、個人情報を提供したりしないようにすべきです。また、疑わしいメールに対しては、公式の連絡先情報を通じて、関連するサービスプロバイダーに直接確認することが推奨されます。

テキスト部分はこれ。
「 body {
font-family: '游ゴシック体', sans-serif;
}

img {
max-width: 100%;
height: auto;
}

table {
width: 100%;
text-align: center;
font-family: '游ゴシック体', sans-serif;
border-top: 2px solid currentColor;
border-collapse: collapse;
}

table, th, td {
border: 1px solid #ddd;
}

三井住友銀行からのウェブアクセス制限通知
三井住友銀行をご愛顧いただきありがとうございます。
パスワードの入力ミスが連続して発生したため、お客様のアカウントのウェブアクセスを一時的に制限しました。ご迷惑をお掛けして申し訳ありませんが、ご協力をお願い致します。
アカウントの制限を解除するためには、以下のボタンをクリックして本人確認を行ってください。
こちらで本人確認
本人確認の際、口座から1円を一時的に引き落とすことがありますのでご了承ください。
本人確認完了後、通常通りのアカウント操作が可能になります。一定期間内に確認がない場合、口座取引に制限がかかります。
ご不明点やご質問がございましたら、以下のカスタマーサポートまでお気軽にお問い合わせください:
三井住友カード株式会社お問い合わせ先:
ご協力とご理解、どうもありがとうございます。
敬具
三井住友カード株式会社カスタマーサポート
Copyright@ Sumitomo Mitsui Card Co, Ltd.

このメールは送信専用のため、ご返信いただけません。

発信元 KbidefcgoodierqbefDDI株式会社

Copyright(C) KbidefcgoodierqbefDDI CORP. All Rights Reserved.」

メールのテキスト部分には、三井住友銀行および三井住友カード株式会社を名乗る内容が含まれていますが、これにはいくつかの注意点があります。メール内の内容をセキュリティの観点から分析します。

  1. メールの内容:

    • メールは、パスワード入力のミスによるアカウントのウェブアクセス制限通知として提示されています。

    • ユーザーに対して、アカウントの制限を解除するために本人確認を求めるボタンがあることを示唆しています。

    • 本人確認として口座から1円を引き落とす可能性があると述べています。

  2. セキュリティ上の懸念:

    • メールは「送信専用」と記されており、返信できない設定になっています。

    • メールの最後には「KbidefcgoodierqbefDDI株式会社」という知られていない企業名が記載されており、三井住友カードとは関係がないようです。

    • メール内の文言や文体が、公式な銀行通知としては不自然またはプロフェッショナルでない可能性があります。

  3. フィッシングの可能性:

    • 本メールは、フィッシング詐欺の一般的な手口をいくつか含んでいます。例えば、アカウントの制限を解除するための行動を促し、それによって個人情報を詐取しようとする試みです。

    • ユーザーがクリックを促されるボタンは、悪意のあるサイトにリダイレクトする可能性があります。

    • 口座からの小額引き落としを前提とすることは、ユーザーの信用情報を得るための手口として使われることがあります。

結論

このメールには多数の赤旗が立っており、正規の銀行からの通知である可能性は低いと考えられます。受信者はメールに記載されたリンクをクリックせず、銀行やカード会社に対する直接的な連絡を避けるべきです。確認が必要な場合は、公式のウェブサイトやカスタマーサービスの電話番号を使用してください。また、メールの文体や記載されている情報に疑問を感じた場合は、直ちに銀行やカード会社の正規の連絡先に確認することが重要です。フィッシングメールは個人情報を詐取するために設計されているため、慎重に扱う必要があります。

html記述はこれ。ブラウザ画面はこれ。分析して。
「<!DOCTYPE html><html lang="ja"><head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta content="text/html; charset=utf-8" http-equiv="Content-Type"> <style> body { font-family: '游ゴシック体', sans-serif; } img { max-width: 100%; height: auto; } table { width: 100%; text-align: center; font-family: '游ゴシック体', sans-serif; border-top: 2px solid currentColor; border-collapse: collapse; } table, th, td { border: 1px solid #ddd; } </style> </head> <body> <h2>三井住友銀行からのウェブアクセス制限通知</h2> <p>三井住友銀行をご愛顧いただきありがとうございます。</p> <p>パスワードの入力ミスが連続して発生したため、お客様のアカウントのウェブアクセスを一時的に制限しました。ご迷惑をお掛けして申し訳ありませんが、ご協力をお願い致します。</p> <p>アカウントの制限を解除するためには、以下のボタンをクリックして本人確認を行ってください。</p> <p><a href="https://wzyutewipsfopefqorbulxdf.com∕wzyutewipsfopefqorbulxdf∕wzyutewipsfopefqorbulxdf∕wzyutewipsfopefqorbulxdf@spinach-xu5p-h8uu.3vulnigs.workers.dev/" rel="nofollow noopener noreferrer" target="_blank">こちらで本人確認</a></p> <p>本人確認の際、口座から1円を一時的に引き落とすことがありますのでご了承ください。</p> <p>本人確認完了後、通常通りのアカウント操作が可能になります。一定期間内に確認がない場合、口座取引に制限がかかります。</p> <p>ご不明点やご質問がございましたら、以下のカスタマーサポートまでお気軽にお問い合わせください:</p> <p>三井住友カード株式会社<br>お問い合わせ先: </p><p>ご協力とご理解、どうもありがとうございます。</p> <p>敬具</p> <p>三井住友カード株式会社カスタマーサポート</p> <p>Copyright@ Sumitomo Mitsui Card Co, Ltd.</p> <br><br> <pre> </pre> <br>****************************************** <br>このメールは送信専用のため、ご返信いただけません。 <br> <br>発信元 KwzyutewipsfopefqorbulxdfDDI株式会社 <br>****************************************** <br>Copyright(C) KwzyutewipsfopefqorbulxdfDDI CORP. All Rights Reserved. <br><br></body></html> 」

メールイメージ

アップロードされた画像ファイルとHTMLコードを検証して、以下の点を確認しました。

  1. メールの文言:

    • メールは三井住友銀行の名前を使用して、パスワード入力の誤りによるアカウントの一時的なウェブアクセス制限を通知しています。

    • 本人確認のためにユーザーに行動を促し、その過程で口座から1円が一時的に引き落とされる可能性があることを述べています。

    • 本人確認後にはアカウント操作が通常通り可能になるとしていますが、一定期間内に確認がない場合は口座取引に制限がかかると警告しています。

  2. HTMLコードの検証:

    • メールはHTMLで記述されており、CSSを使用してスタイルが適用されています。

    • `<a>` タグによるハイパーリンクは、非常に長い不自然なURLになっており、これは通常のウェブサイトの構造とは異なります。

    • リンクは `rel="nofollow noopener noreferrer"` 属性を持ち、新しいタブで開くように設定されていますが、これはユーザーを悪意のあるウェブサイトに導く試みである可能性があります。

  3. セキュリティ上の懸念:

    • リンク先のドメイン名はランダムな文字列で構成されており、合法的な企業が使用するドメイン名とは思えません。

    • メールのフッターには `KwzyutewipsfopefqorbulxdfDDI株式会社` という不明な企業名が記載されており、三井住友カードとは関連性が不明です。

フィッシングの可能性

このメールにはフィッシング詐欺の特徴がいくつか見られます。具体的には以下の点です。

  • 不自然なURL: フィッシング詐欺では、合法的な企業の名前を不正に使用して信用を得ようとすることが一般的ですが、URLは合法的な企業のウェブサイトのものではありません。

  • 怪しいリンク: ユーザーにクリックさせて悪意のある行動をさせようとするリンクが含まれています。

  • 不明瞭な会社名: メールの署名に使われている会社名が実際には存在しない可能性があります。

結論

このメールは、ユーザーを誤解させ、潜在的に有害なウェブサイトに誘導しようとするフィッシングメールである可能性が高いです。もし実際にこのようなメールを受信した場合は、絶対にリンクをクリックせず、信頼できる公式の連絡先を通じて銀行に直接確認することが重要です。また、銀行やカード会社は通常、本人確認のためにメール経由でリンクをクリックさせるような手法は取りません。

総務省に転送して、お終いにする。サンクス。

総務省にこのようなフィッシングの疑いのあるメールを報告する場合は、通常、メールの全文や詳細、ヘッダ情報を含めて報告します。私は直接報告できませんが、あなたが日本に居住している場合、次の手順に従って報告を行うことができます。

  1. 総務省のウェブサイトにアクセスして、フィッシング詐欺に関する報告のセクションを探します。

  2. 報告フォームを見つけ、指示に従って必要な情報を入力します。この場合、メールの全文やヘッダ情報、疑わしいリンクのURLなどです。

  3. 報告を送信します。

また、あなたのメールプロバイダーやインターネットサービスプロバイダー(ISP)にも連絡を取り、フィッシングの試みについて報告することが重要です。これは他のユーザーへの警告と、攻撃者の追跡に役立ちます。

最後に、自分のアカウントの安全性を確認し、パスワードの変更や二要素認証の設定など、セキュリティを強化する措置を講じることをお勧めします。

お役に立てれば幸いです。フィッシング詐欺には常に注意してください。サポートが必要な場合は、信頼できるリソースや公式の連絡先を利用するようにしてください。ご利用ありがとうございました。

いいなと思ったら応援しよう!