20240704-A(お荷物お届けのお知らせ【受け取りの日時や場所をご指定ください】:フィッシングメール)
◆メールイメージ
◆メールヘッダーの詳細な分析
1. "Received" 行の調査
各 "Received" 行を追跡して、メールがどのような経路をたどったかを解析します。
Received: from ifmta1006.nifty.com by ibmta1006.nifty.com
日時: Thu, 4 Jul 2024 06:31:03 +0900
IPアドレス: なし (内部のNiftyサーバー間)
Received: from mta-fwd-w03.mail.nifty.com([106.153.227.51]) by ifmta1006.nifty.com
日時: Thu, 4 Jul 2024 06:31:03 +0900
IPアドレス: 106.153.227.51 (Niftyサーバー)
Received: from ibmta1003.nifty.com by mta-fwd-w03.mail.nifty.com
日時: Thu, 4 Jul 2024 06:31:03 +0900
IPアドレス: なし (内部のNiftyサーバー間)
Received: from ifmta1003.nifty.com by ibmta1003.nifty.com
日時: Thu, 4 Jul 2024 06:31:03 +0900
IPアドレス: なし (内部のNiftyサーバー間)
Received: from estes-only.shipsmen.com([180.103.59.167]) by ifmta1003.nifty.com
日時: Thu, 4 Jul 2024 06:30:59 +0900
IPアドレス: 180.103.59.167
2. IPアドレスの追跡
IPアドレスを追跡して、発信元の情報を確認します。
106.153.227.51
Niftyのサーバーである可能性が高い。
180.103.59.167
これは問題のメールの最初の発信元IPアドレスです。このIPアドレスの詳細を調査します。
$ whois 180.103.59.167
% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 180.103.0.0 - 180.103.255.255
netname: CHINANET-HUN
descr: CHINANET Hunan province network
descr: China Telecom
descr: No.31,jin-rong Street
descr: Beijing 100032
country: CN
admin-c: CH93-AP
tech-c: IC83-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET
mnt-routes: MAINT-CHINANET
mnt-irt: IRT-CHINANET-CN
status: ALLOCATED PORTABLE
last-modified: 2017-08-29T23:02:34Z
source: APNICIPアドレス180.103.59.167は、中国のChina Telecomのネットワークに属していることがわかります。
3. SPFとDKIMの結果
メールヘッダーの認証結果を確認します。
SPF: none
Sender-ID: none
DKIM: none
DKIM-ADSP: none
これらの結果から、送信元のドメインには認証に関する設定が行われていないことがわかります。これはセキュリティ上の懸念を引き起こす要因となります。
4. 送信元ドメインの信頼性
送信元ドメイン "estes-only.shipsmen.com" を評価します。
$ whois shipsmen.com
Domain Name: SHIPSMEN.COM
Registry Domain ID: 1846762407_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: http://www.namecheap.com
Updated Date: 2024-06-17T06:28:24Z
Creation Date: 2014-02-14T08:18:25Z
Registrar Registration Expiration Date: 2025-02-14T08:18:25Z
Registrar: NAMECHEAP INC
Registrar IANA ID: 1068
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: NS1.SEDOPARKING.COM
Name Server: NS2.SEDOPARKING.COM
DNSSEC: unsignedこのドメインは、2024年6月に更新されたばかりであり、信頼性が低い可能性があります。また、DNSの設定が駐車されているドメインであることから、フィッシングに利用されることが多いドメインの特徴を持っています。
結論
提供されたメールヘッダーの分析結果として、このメールは中国から送信されている可能性が高く、SPFやDKIMの認証も行われていないため、信頼性に欠けるメールであることがわかります。このメールはフィッシングの可能性が高いので、開かないようにし、リンクや添付ファイルにアクセスしないことを強くお勧めします。
◆HTML構造解析
提供されたHTMLの構造を詳細に解析し、フィッシングの可能性がある要素を特定します。
1. メタデータとスタイル
`<title>`タグやメタタグ、スタイルタグは正規のHTMLドキュメントと同様です。
`viewport`と`charset`の設定も標準的で問題ありません。
2. ボディ部分の解析
全体構造
`<div class="container">`タグにより全体が包まれており、スタイルが適用されています。
内部に複数の`<table>`タグがあり、情報が表形式で提供されています。
3. セクションごとの解析
お知らせのタイトル
<h2>お荷物お届けのお知らせ【受け取りの日時や場所をご指定ください】</h2>目を引くタイトルがセンター配置され、ユーザーに注意を引こうとしています。
お荷物情報セクション
<table role="presentation" style="width:100%;border-collapse:collapse;border-spacing:0;background-color:#f0f0f0;">
<tbody>
<tr>
<td style="padding-bottom:10px;padding-top:10px;padding-left:10px;padding-right:10px;">
<p style="font-size:22px;font-weight:bold;text-align:center;margin:0px;">お荷物情報</p></td></tr></tbody></table>受け取りに関する詳細情報が含まれており、信頼性を感じさせるデザイン。
発送情報
<table role="presentation" id="_cid0.0765579914799579" style="width:100%;border-collapse:collapse;border-spacing:0;">
<tbody>
<tr>
<td style="font-size:18px;border-bottom:#dddddd 1px solid;padding-bottom:10px;padding-top:10px;padding-left:10px;padding-right:10px;">発送</td>
<td style="font-size:18px;border-bottom:#dddddd 1px solid;padding-bottom:10px;text-align:right;padding-top:10px;padding-left:10px;padding-right:10px;">ご不在</td></tr>
<tr>
<td style="font-size:18px;border-bottom:#dddddd 1px solid;padding-bottom:10px;padding-top:10px;padding-left:10px;padding-right:10px;">送り状番号:</td>
<td style="font-size:18px;border-bottom:#dddddd 1px solid;padding-bottom:10px;text-align:right;padding-top:10px;padding-left:10px;padding-right:10px;">4279-2799-xxxx</td></tr>
<tr>
<td style="font-size:18px;border-bottom:#dddddd 1px solid;padding-bottom:10px;padding-top:10px;padding-left:10px;padding-right:10px;">サービス名:</td>
<td style="font-size:18px;border-bottom:#dddddd 1px solid;padding-bottom:10px;text-align:right;padding-top:10px;padding-left:10px;padding-right:10px;">宅急便</td></tr></tbody></table>送り状番号やサービス名が含まれており、詳細に見えるようにしています。
リンクとボタン
<table role="presentation" style="max-width:600px;width:100%;border-collapse:collapse;border-spacing:0;margin:20px auto;">
<tbody>
<tr>
<td style="padding-bottom:10px;text-align:center;padding-top:10px;padding-left:10px;padding-right:10px;">
<a style="font-size:18px;text-decoration:none;font-weight:bold;color:#ffffff;padding-bottom:15px;padding-top:15px;padding-left:30px;margin:5px;display:inline-block;padding-right:30px;background-color:#141414;border-radius:5px;" href="https://nbgbsnnfsxkyn.com/nbgbsnnfsxkyn/nbgbsnnfsxkyn/nbgbsnnfsxkyn@🄺🄴🄹🄸🄰🄳🄼🄸🄽.🄲🄽/caonimaqs=utm_source29c60e3bc903bc0ddacde12124ce80b829c60e3bc903bc0ddacde12124ce80b829c60e3bc903bc0ddacde12124ce80b8">荷物の配送状況を確認する</a>
</td></tr></tbody></table>"荷物の配送状況を確認する" ボタンが目立つように設置されています。URLに不自然な文字列や疑わしいドメインが含まれています。
注意書きと連絡先
<p>※再配達手続きが2日以内に完了しない場合、商品は自動的に発送元に返送されますので、ご注意ください。</p>
<p>何かご質問がありましたら、お気軽にお問い合わせください。</p>
<p>ご協力に感謝いたします。</p>緊急性を持たせることでユーザーの行動を促す意図が伺えます。
隠し要素とトラッキングピクセル
<img style="height:1px;width:1px;" src="https://www.google-analytics.com/collect?v=1&t=event&tid=UA-881994-18&cid=e1304c09-4181-4513-a7e3-ac9a19a5c663&ec=email&ea=open&el=user_auto_matching_mail_20240304">
<img style="border-left-width:0px !important;height:1px !important;border-right-width:0px !important;width:1px !important;border-bottom-width:0px !important;padding-bottom:0px !important;padding-top:0px !important;padding-left:0px !important;margin:0px;padding-right:0px !important;border-top-width:0px !important;" border=0 alt="" src="https://nbgbsnnfsxkyn.jp.sendgrid.net/wf/open?upn=u001.OZ3cAtgZWHGLVARsXSxPjh-2BR-2F6B8p5nbgbsnnfsxkynm-2B7QmOygtt9EdfDmFRH3VH0vBFJ2r3gzFN1F44XkapN8d8GnbgbsnnfsxkynzpY4k-2FER98Srkkv-2BbupmjNi8h5Qix0n1i0kYbKl6rmLfo-2Bp-2FXRPzIWsIPl2Ou-2BGCddgWTm" width=1 height=1>これらの画像はトラッキングピクセルと呼ばれ、メールが開封されたかどうかを追跡するために使用されます。
結論
提供されたHTML構造は、一見すると正規のメールのように見えますが、以下の点からフィッシングの可能性が高いと判断できます。
不自然なリンクとドメイン: リンクURLが怪しいドメインを指しており、文字列も不自然です。
トラッキングピクセル: メールが開封されたかどうかを追跡するための要素が含まれています。
緊急性を強調: ユーザーに行動を促すために緊急性を持たせています。
このメールは、フィッシングメールの典型的な特徴を持っているため、リンクや添付ファイルにアクセスしないことを強くお勧めします。
◆対処
総務省に転送して、お終いにする。