20240620-A(ヤマト運輸株式会社・お荷物お届けのお知らせ【受け取りの日時や場所をご指定ください】:フィッシングメール)
◆メールイメージ
◆メールヘッダー解析
「Return-Path:
Malcolm-xxxxxxxx@olson-respond.citazone.com
Received:
from ifmta1006.nifty.com
by ibmta1006.nifty.com
with ESMTP
id 20240619235603656.QODA.92581.ifmta1006.nifty.com@nifty.com
for xxxxxxx@xxxxx.nifty.ne.jp;
Thu, 20 Jun 2024 08:56:03 +0900
Received:
from olson-respond.citazone.com([59.60.120.48])
by ifmta1006.nifty.com
with ESMTP
id 20240619235602137.XDAZ.85848.olson-respond.citazone.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Thu, 20 Jun 2024 08:56:02 +0900
Authentication-Results:
nifty.com; spf=none smtp.mailfrom=Malcolm-xxxxxxxx@olson-respond.citazone.com;
sender-id=none header.From=Malcolm-xxxxxxxx@olson-respond.citazone.com;
dkim=none;
dkim-adsp=none header.from=Malcolm-xxxxxxxx@olson-respond.citazone.com
Date:
Thu, 20 Jun 2024 07:55:33 +0800
To:
xxxxxxxx@xxxxx.nifty.ne.jp
From:
ヤマト運輸株式会社 Malcolm-xxxxxxxx@olson-respond.citazone.com
Reply-To:
vikd0u9e5tqqs90a8wl@pointcard.rakuten.co.jp
Subject:
お荷物お届けのお知らせ【受け取りの日時や場所をご指定ください】06/20/2024 07:55:33 am
Message-ID:
17c4299ae4e0389252547dcd6c4739f4@zfhrqcj.jp
MIME-Version:
1.0
Content-Type:
multipart/alternative; boundary="b1_417fa921354f7cfd280ba65c894fc74f"」
メールヘッダーの分析
1. Received 行の分析
メールヘッダーの「Received」行を以下に示します:
Received: from ifmta1006.nifty.com by ibmta1006.nifty.com with ESMTP id 20240619235603656.QODA.92581.ifmta1006.nifty.com@nifty.com for xxxxxxxx@xxxxx.nifty.ne.jp; Thu, 20 Jun 2024 08:56:03 +0900
送信元: ifmta1006.nifty.com
宛先: ibmta1006.nifty.com
日付: Thu, 20 Jun 2024 08:56:03 +0900
Received: from olson-respond.citazone.com([59.60.120.48]) by ifmta1006.nifty.com with ESMTP id 20240619235602137.XDAZ.85848.olson-respond.citazone.com@nifty.com for xxxxxxxx@xxxxx.nifty.ne.jp; Thu, 20 Jun 2024 08:56:02 +0900
送信元: olson-respond.citazone.com ([59.60.120.48])
宛先: ifmta1006.nifty.com
日付: Thu, 20 Jun 2024 08:56:02 +0900
IPアドレスの追跡
59.60.120.48 は、中国のIPアドレスであり、通常、セキュリティ上のリスクが伴うことがあります。このIPアドレスは、SPAMやフィッシングメールに利用されることが多い地域に関連しています。
SPFとDKIMの結果
SPF: `spf=none smtp.mailfrom=Malcolm-xxxxxxxx@olson-respond.citazone.com;`
SPF (Sender Policy Framework)の結果が「none」であるため、このメールはSPFレコードを持っていないか、チェックが行われていないことを意味します。信頼性が低いです。
DKIM: `dkim=none;`
DKIM (DomainKeys Identified Mail)の結果が「none」であるため、このメールはDKIM署名されていないことを意味します。信頼性が低いです。
Sender ID: `sender-id=none header.From=Malcolm-xxxxxxxx@olson-respond.citazone.com;`
Sender IDの結果も「none」であるため、このメールはSender IDチェックが行われていないことを意味します。
セキュリティ上の懸念
送信元ドメイン(olson-respond.citazone.com)は、DKIMやSPFが設定されていないため、信頼性が低く、フィッシングやスパムの可能性が高いです。
メールの送信元IPアドレス(59.60.120.48)が中国にあり、スパムやフィッシングのリスクが高いです。
メールの「From」アドレスと「Reply-To」アドレスが異なる点も疑わしいです。これは、受信者を騙すための一般的な手法です。
送信元ドメインの信頼性評価
ドメイン `citazone.com` については、DKIMやSPFが設定されていないため、信頼性が低いです。
さらに、`olson-respond.citazone.com` というサブドメインも、信頼性が低い可能性があります。
結論
このメールには、複数のセキュリティ上の懸念があり、信頼性が低いと判断されます。受信者はこのメールを無視し、可能であれば報告することをお勧めします。
◆HTML記述構造解析
セキュリティの懸念点
リンクのURL
多くのリンクが `zmiarxitqdvi.com` という不審なドメインに向けられており、信頼性が低い。
`https://zmiarxitqdvi.com` と `https://zmiarxitqdvizmiarxitqdvi.𝙧𝙤𝙨𝙝𝙞𝙚𝙤.%F0%9D%93%AC%F0%9D%93%B7` など、疑わしいリンクが含まれている。
不審なメールアドレス
`Malcolm-xxxxxxxx@olson-respond.citazone.com` は信頼できる企業のドメインとは考えにくい。
結論
このメールは、典型的なフィッシングメールの特徴を持っています。不審なリンクやメールアドレスが含まれているため、受信者はリンクをクリックせず、このメールを無視するか削除することを強くお勧めします。
◆対処
総務省に転送して、お終いにする。