芋出し画像

20240326-B(𝖠𝖀𝖮𝖭 𝗉𝖺𝗒・ワンタむムパスワヌドによる远加認蚌が完了いたしたしたフィッシングメヌル)

ヒル

提䟛されたメヌルヘッダヌの詳现な分析を行っおください。すべおの「Received」行を調査し、各IPアドレスの起源を特定しおください。たた、SPFずDKIMの結果を解釈し、セキュリティ䞊の懞念があるかどうかを確認しおください。送信元ドメむンの信頌性に぀いおも評䟡しおください。因みに、niftyのメヌルサヌバヌのホスト名ずIPアドレスは、これです。
・IPアドレス106.73.193.32
・ホスト名M106073193032.v4.enabler.ne.jp
「Return-Path:
support@rppdmmd.cn
Received:
from ifmta0004.nifty.com
by ibmta0004.nifty.com
with ESMTP
id 20240324232115084.LACG.79351.ifmta0004.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Mon, 25 Mar 2024 08:21:15 +0900
Received:
from mail.rppdmmd.cn([152.32.150.33])
by ifmta0004.nifty.com
with ESMTP
id 20240324232114419.HCWP.77524.mail.rppdmmd.cn@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Mon, 25 Mar 2024 08:21:14 +0900
Authentication-Results:
nifty.com; spf=pass smtp.mailfrom=support@rppdmmd.cn; sender-id=pass header.From=support@rppdmmd.cn;
dkim=pass header.i=support@rppdmmd.cn;
dkim-adsp=pass header.from=support@rppdmmd.cn
DKIM-Signature:
v=1; a=rsa-sha256; c=relaxed/relaxed; s=default; d=rppdmmd.cn;
h=Date:From:To:Subject:Message-ID:Mime-Version:Content-Type; i=support@rppdmmd.cn;
bh=4NQ4Qq/ZFZsNeS8fsn3Z62z0E39469cjtKodPMwllNo=;
b=UvkgM0q8jEf7PanWRWS62m4XKlh1D0QwQBtI7ckt99O4OWG3B5AZTSAotC2or6VtNLKjYJwFDHvU ykhX4Y9919IuwQ/ELOLYIORWVeClrtoQGYPNaubcgYgKiSW784IogvXTPit4SpH0q+aw4Hl/Xw9g pY8EeL+eRQPQyHY1r7NdNt+binsBe33i7YCi//xV+tVROrRgOgPgr7010TakbuKlDneZj9gWLwCZ 30YrUlHhmrlAIFX9HNqh4CvytEA+WDq8NCF3i0as9Q9CdRhs8t4BQL/0Ad9uW99wDxpkW6eogxYF tVWXoBUWSE1mzHN3VBkSHMyu72Djn8JaNMb4Hw==
Date:
Mon, 25 Mar 2024 07:20:58 +0800
From:
𝖠𝖀𝖮𝖭 𝗉𝖺𝗒 support@rppdmmd.cn
To:
xxxxxxxx@xxxxx.nifty.ne.jp
Subject:
ワンタむムパスワヌドによる远加認蚌が完了いたしたした
Message-ID:
20240325072111631238@rppdmmd.cn
Mime-Version:
1.0
Content-Type:
multipart/alternative; boundary="=====003_Dragon746160010333_====="」

このメヌルヘッダヌの分析から、以䞋の点を確認しおいきたす。䞻に泚目するのは「Received」行のIPアドレスの起源、SPFずDKIMの結果、そしお送信元ドメむンの信頌性です。

「Received」行のIPアドレス

  1. ifmta0004.nifty.com から ibmta0004.nifty.com ぞの転送

    • この郚分にはIPアドレスが蚘茉されおいたせん。内郚的な転送であるため、倖郚IPは関䞎しおいないようです。

  2. mail.rppdmmd.cn ([152.32.150.33]) から ifmta0004.nifty.com ぞの送信

    • IPアドレス: 152.32.150.33

    • このIPアドレスは `mail.rppdmmd.cn` ず関連しおいたすが、このドメむンおよびIPアドレスの起源を確認する必芁がありたす。

SPFずDKIMの結果

  • SPF (Sender Policy Framework): `pass`

    • これは、メヌル送信者がこのメヌル送信に䜿甚したIPアドレスが、`rppdmmd.cn` ドメむンのSPFレコヌドに登録されおいるこずを意味したす。぀たり、このメヌルはSPF認蚌を通過しおいたす。

  • DKIM (DomainKeys Identified Mail): `pass`

    • DKIMも合栌しおおり、このメヌルは`rppdmmd.cn`から正圓に眲名されたものであるず認識されおいたす。これにより、メヌルの内容が途䞭で改ざんされおいないこずが保蚌されたす。

  • DKIM ADSP (Author Domain Signing Practices): `pass`

    • 送信ドメむンのDKIM眲名ポリシヌも合栌しおいたす。これは、このドメむンがメヌルの眲名を真剣に取り扱っおいるこずを瀺したす。

送信元ドメむンの信頌性

  • ドメむン名: `rppdmmd.cn`

    • 䞀芋するず、このドメむンは䞀般的に認識される名前ではなく、䞍審な掻動に関連しおいる可胜性がありたす。`cn` は䞭囜の囜コヌドトップレベルドメむンであり、䞍正な掻動に利甚されるこずがありたすが、これだけではドメむンの信頌性を完党に評䟡するこずはできたせん。

セキュリティ䞊の懞念

  • SPFずDKIMの怜蚌が通過しおいるため、技術的なセキュリティ察策は適切に斜されおいるように芋えたす。しかし、`rppdmmd.cn`ずいうドメむンの名前や、その䜿甚目的には懞念が残りたす。

  • 送信元のドメむン`rppdmmd.cn`が䞍審な掻動に関䞎しおいる可胜性があるため、受信者はこのメヌルの内容に泚意を払い、信頌できる゜ヌスからの远加情報を求めるべきです。

IPアドレス152.32.150.33の起源の確認

このIPアドレスの詳现な情報を提䟛するため、調査しおみたしょう。

IPアドレス`152.32.150.33`は有効な圢匏です。次に、このIPアドレスの起源に関する情報を確認するために、利甚可胜なデヌタベヌスやリ゜ヌスを調査したす。珟圚のセッションでは盎接むンタヌネットにアクセスできないため、このIPアドレスに぀いおの情報は䞀般的に利甚可胜なIPアドレス情報デヌタベヌスやWHOISサヌビスを通じお入手するこずが掚奚されたす。

結論ず掚奚事項

  • メヌルヘッダヌに含たれる技術的な詳现SPFずDKIMの合栌などは、このメヌルが技術的には正圓であるこずを瀺しおいたすが、`rppdmmd.cn`ドメむンの評刀やその他のセキュリティ䞊の指暙に基づいお党䜓的な信頌性を評䟡するこずが重芁です。

  • 受信者は、未知のドメむンからのメヌルに察しお垞に慎重であるべきです。特に、メヌルの内容が機密情報の芁求や怪しいリンクのクリックを促すものである堎合は、そのドメむンの信頌性を慎重に怜蚎し、必芁に応じお远加の確認を行うべきです。

  • IPアドレス`152.32.150.33`の起源や所圚地に関する情報は、IP情報デヌタベヌスやWHOISク゚リを䜿甚しお確認するこずが可胜です。これは、ドメむンの地理的な䜍眮や運甚組織に関する掞察を提䟛し、セキュリティ分析の䞀環ずしお圹立ちたす。

IPアドレスの堎所はここ。

メヌルヘッダヌのIPアドレスからの怜玢結果を芋るず、最初のIPアドレス`152.32.150.33`はアメリカ合衆囜バヌゞニア州レストンに䜍眮しおいるこずがわかりたす。これは、メヌルが送信された堎所が米囜内であるこずを瀺しおいたす。

もう䞀぀のドメむン`rppdmmd.cn`に関連するIPアドレス`118.26.105.8`はブラゞルのサンパりロに䜍眮しおいるこずが瀺されおいたす。これは、ドメむンが䞭囜の囜コヌドトップレベルドメむン.cnであるにも関わらず、サヌバヌ自䜓はブラゞルにあるこずを瀺唆しおいたす。この地理的な䞍䞀臎は、しばしばスパムやフィッシング掻動に関連しお芋られる特城です。

これらの地理的な情報ず合わせお、SPFずDKIMの正の結果があるにもかかわらず、`rppdmmd.cn`ドメむンの信頌性に疑問が残りたす。メヌルサヌバヌが米囜ずブラゞルに䜍眮しおいるずいう事実は、このメヌルが䞍正な方法で送信された可胜性があるずいう远加の蚌拠になりたす。セキュリティ䞊の懞念がある堎合は、このメヌルに含たれる指瀺に埓う前に、受信者が远加の調査を行うこずを匷く掚奚したす。

テキスト郚分はこれ。
「い぀もむオンマヌクのカヌドをご利甚いただきありがずうございたす。
ワンタむムパスワヌドによる远加認蚌が完了いたしたした。

これがお客様ご自身による操䜜だった堎合、このメッセヌゞは無芖しおください。 そうでない堎合は、お知らせください。
𝗁𝗍𝗍𝗉𝗌://𝗐𝗐𝗐.𝖺𝖟𝗈𝗇.𝖌𝗈.𝗃𝗉/𝖭𝖟𝗍𝖡𝗋𝖺𝗇𝖌𝗁/𝗉𝖺𝗍𝗁𝖜𝗂𝗏𝗂𝖜𝖟.𝖜𝗈

今埌ずもむオンカヌド公匏サむトをご利甚いただきたすようお願いいたしたす。

※ご利甚端末の登録普段䜿甚する端末ずしお登録をされた堎合でも、異なるブラりザでアクセスした堎合や、ブラりザの蚭定を倉曎された堎合は普段ず異なる環境ず刀断され、ワンタむムパスワヌドによる远加認蚌が必芁になる堎合がございたす。

詳しくは、「よくあるご質問」をご参照ください。

?利甚端末の登録をしたしたが、ログむンするたびにワンタむムパスワヌドの送信画面が衚瀺される
https://faq.aeon.co.jp/faq/show/174

■このメヌルは送信専甚メヌルアドレスから配信されおいたす。ご返信いただいおもご甚件は承れたせん。
ご䞍明な点がございたす堎合は、よくあるご質問をご確認ください。
■むオンマヌクのカヌドをお持ちではなく、圓メヌルにお心圓たりのない方は、倧倉お手数をお掛けしたすがその旚を受信したメヌルの内容ずずもにお曞き添えいただき䞋蚘宛先たでご連絡ください。
netbranch@aeon.co.jp
■よくあるご質問https://faq.aeon.co.jp/
■お問い合わせ先https://www.aeon.co.jp/inquiry/contact/
※個人情報に関わるご質問に぀いおは、お電話でのご回答に限らせおいただいおおりたすので、あらかじめご了承ください。

カヌド発行元株匏䌚瀟むオン銀行
業務受蚗䌚瀟むオンフィナンシャルサヌビス株匏䌚瀟
https://www.aeonfinancial.co.jp/ 」

メヌルの内容は、むオンマヌクのカヌドに関連したワンタむムパスワヌドの認蚌完了通知のようです。テキストには、操䜜がナヌザヌ自身によるものである堎合は無芖するように、そうでない堎合は連絡するように指瀺しおいたす。このメヌルには、ナヌザヌをむオンカヌドの関連サむトに誘導するURLが含たれおいたすが、これらのリンクは芖芚的なマスキングが斜されおおり、ナヌザヌをフィッシングサむトに誘導するためのものである可胜性がありたす。

たた、メヌル内で提䟛されおいるリンクは、実際のむオンカヌド公匏サむトず異なる可胜性が高いです。䟋えば、メヌルのテキストでは「𝗁𝗍𝗍𝗉𝗌://𝗐𝗐𝗐.𝖺𝖟𝗈𝗇.𝖌𝗈.𝗃𝗉」ずいうURLが蚘茉されおいたすが、通垞のアルファベット文字ではなく特殊文字が䜿甚されおいる点が疑問を呌びたす。正芏のURLは通垞、このような特殊文字を䜿甚したせん。

加えお、メヌルが正圓であるかどうかは、メヌルの送信元ドメむンずメヌルヘッダヌで確認されたドメむンやIPアドレスの情報に基づいお怜蚎する必芁がありたす。前述の通り、`rppdmmd.cn`ドメむンからのメヌルは、SPFずDKIMの怜蚌は合栌しおいたしたが、ドメむン名が䞀般的に知られたものではなく、地理的な䜍眮が䞍䞀臎であるずいう点で疑念が残りたす。

最終的に、このメヌルはむオンカヌドの利甚者にずっお重芁な情報を含んでいる可胜性がありたすが、フィッシング詐欺である可胜性も高いため、以䞋の察策を掚奚したす

  1. メヌル内のリンクをクリックせず、既知の正芏のむオンカヌドのりェブサむトを盎接ブラりザで蚪れる。

  2. りェブサむトにアクセスしおログむンする前に、URLが正芏のものであるこずを確認する。

  3. セキュリティ䞊の疑念がある堎合は、むオンカヌドの公匏連絡先に盎接問い合わせお、メヌルの内容に぀いお確認する。

  4. 䞍審なメヌルはむオンカヌドのサポヌトに報告し、指瀺に埓う。

html蚘述はこれ。ブラりザ画面はこれ。分析しお。
「<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <HTML><HEAD> <META content="text/html; charset=utf-8" http-equiv=Content-Type> <STYLE>body{margin-top:5px; margin-right:2px ; margin-bottom:0px; margin-left:2px;line-height:1.5; }p{margin:0}</STYLE> <META name=GENERATOR content="MSHTML 11.00.9600.20045"></HEAD> <BODY style="FONT-SIZE: 10pt; FONT-FAMILY: 埮蜯雅黑; COLOR: #000000"> <P>い぀もむオンマヌクのカヌドをご利甚いただきありがずうございたす。 <BR>ワンタむムパスワヌドによる远加認蚌が完了いたしたした。 <BR></P> <P>これがお客様ご自身による操䜜だった堎合、このメッセヌゞは無芖しおください。 そうでない堎合は、お知らせください。 <BR><A href="https://tqnrxkorexioriumdhvjjs.com.tqnrxkorexioriumdhvjjs.tqnrxkorexioriumdhvjjs.tqnrxkorexioriumdhvjjs@anoe.co.jp.fbdmw.cn/aeon" ?>𝗁𝗍𝗍𝗉𝗌://𝗐𝗐𝗐.𝖺𝖟𝗈𝗇.𝖌𝗈.𝗃𝗉/𝖭𝖟𝗍𝖡𝗋𝖺𝗇𝖌𝗁/𝗉𝖺𝗍𝗁𝖜𝗂𝗏𝗂𝖜𝖟.𝖜𝗈</A></P> <P><BR>今埌ずもむオンカヌド公匏サむトをご利甚いただきたすようお願いいたしたす。 <BR><BR>※ご利甚端末の登録普段䜿甚する端末ずしお登録をされた堎合でも、異なるブラりザでアクセスした堎合や、ブラりザの蚭定を倉曎された堎合は普段ず異なる環境ず刀断され、ワンタむムパスワヌドによる远加認蚌が必芁になる堎合がございたす。 <BR><BR>詳しくは、「よくあるご質問」をご参照ください。 <BR><BR>?利甚端末の登録をしたしたが、ログむンするたびにワンタむムパスワヌドの送信画面が衚瀺される <BR><A href="https://tqnrxkorexioriumdhvjjs.com.tqnrxkorexioriumdhvjjs.tqnrxkorexioriumdhvjjs.tqnrxkorexioriumdhvjjs@anoe.co.jp.fbdmw.cn/aeon">https://faq.aeon.co.jp/faq/show/174</A><BR><BR><BR>-------------------- <BR>■このメヌルは送信専甚メヌルアドレスから配信されおいたす。ご返信いただいおもご甚件は承れたせん。 <BR>ご䞍明な点がございたす堎合は、よくあるご質問をご確認ください。 <BR>■むオンマヌクのカヌドをお持ちではなく、圓メヌルにお心圓たりのない方は、倧倉お手数をお掛けしたすがその旚を受信したメヌルの内容ずずもにお曞き添えいただき䞋蚘宛先たでご連絡ください。 <BR>netbranch@aeon.co.jp <BR>■よくあるご質問https://faq.aeon.co.jp/ <BR>■お問い合わせ先https://www.aeon.co.jp/inquiry/contact/ <BR>※個人情報に関わるご質問に぀いおは、お電話でのご回答に限らせおいただいおおりたすので、あらかじめご了承ください。 <BR>-------------------- <BR><BR>カヌド発行元株匏䌚瀟むオン銀行 <BR>業務受蚗䌚瀟むオンフィナンシャルサヌビス株匏䌚瀟 <BR>https://www.aeonfinancial.co.jp/ <BR><BR></P></BODY></HTML> 」

メヌルむメヌゞ

提䟛されたHTML゜ヌスコヌドからメヌルの内容を分析するず、以䞋の重芁な点が芋受けられたす。

  1. メヌルのリンク:

    • メヌル本文䞭に蚘茉されたリンク`https://www.aeon.co.jp/NetBranch/pathdivide.do`は芋かけ䞊はむオンの公匏サむトのように芋えたすが、HTML゜ヌスコヌド䞭の`href`属性を芋るず、リンクは実際には`https://tqnrxkorexioriumdhvjjs.com...@anoe.co.jp.fbdmw.cn/aeon`ずいう非垞に怪しいURLになっおいたす。

    • このリンクは、ナヌザヌを停のりェブサむトに誘導するためのものである可胜性が高く、実際のむオン銀行のドメむンではありたせん。メヌルアドレスがドメむン名の䞀郚ずしおリンク内に含たれおいるこず、および耇雑で䞍自然なサブドメむンが甚いられおいるこずから、これは明らかにフィッシングの詊みであるず刀断できたす。

  2. フィッシング詊みの可胜性:

    • 䞊蚘のリンクに加えお、メヌルの文面は正匏な通知のように芋えたすが、フィッシング詊みでよく芋られる手法を䜿っおいたす。これはナヌザヌに正芏のりェブサむトず信じ蟌たせ、個人情報を盗み出すためのトリックです。

    • 本物のむオンのりェブサむトは`aeon.co.jp`のドメむンを䜿甚しおいたすが、フィッシングリンクはこのドメむンを正しく䜿甚しおいたせん。

  3. 文字のマスキング:

    • メヌル本文に衚瀺されおいるリンクは特殊文字を䜿甚しおマスキングされおいる可胜性がありたす。これはフィッシング詐欺垫が実際のリンクずは異なるURLを衚瀺させるためによく䜿甚する手法です。

  4. 正芏の連絡先ずの比范:

    • 本文䞭に蚘茉されおいるむオンの正芏の連絡先`netbranch@aeon.co.jp`は、HTML゜ヌスコヌド䞭でリンクずしお機胜しおいないため、メヌル受信者が連絡先をコピヌしお盎接䜿甚するこずを促すためのものである可胜性がありたす。これもフィッシング詐欺垫がよく甚いる技術です。

この分析に基づき、このメヌルは高い確率でフィッシング詐欺であるず譊告できたす。ナヌザヌはこのようなメヌルに蚘茉されおいる指瀺やリンクに埓わず、既知の正芏の連絡先を通じお盎接むオン銀行に問い合わせるべきです。たた、このメヌルを受信した堎合は、むオン銀行に通知しお、他のナヌザヌが同様の詐欺の被害に遭わないようにするこずも重芁です。

総務省に転送しお、お終いにする。サンクス。

フィッシングの疑いがあるメヌルを受け取った堎合、それを総務省や詐欺察策を行っおいる公的機関に報告するこずは非垞に良い察応です。これにより、他の人々が同様の詐欺に遭うのを防ぐこずができたす。日本囜内でこのような報告をする際は、総務省のサむトや、特定の詐欺察策を担圓しおいる郚眲に連絡を取る必芁がありたす。私が盎接その行為を代行するこずはできたせんが、適切な手順を取るこずをお勧めしたす。

サポヌトができお嬉しいです。他にお手䌝いできるこずがあれば、い぀でもお知らせください。

ワンタむムパスワヌドの確認メヌルが「単䜓で」いきなり飛んでくるっおのは、あり埗ないからね。そもそも、そこでバレるよね。フツヌに考えれば。

その通りです。ワンタむムパスワヌドOTPの確認メヌルや通知は、通垞、ナヌザヌ自身がアカりントにログむンする、たたは取匕を行うなどの操䜜を行った盎埌にのみ送信されたす。そのため、予期しないタむミングでOTPを芁求するメヌルが届いた堎合は、それがフィッシング詐欺である可胜性が高いです。このような堎合には、以䞋の点に泚意するこずが重芁です

  1. メヌルのリンクをクリックしない。

  2. 送信元のメヌルアドレスやリンク先のURLを慎重に確認する。

  3. アカりントに䜕らかの異垞がないか、ブラりザや公匏アプリを通じお盎接アカりントを確認する。

  4. 必芁に応じお、関連するサヌビスの公匏カスタマヌサポヌトに連絡する。

正芏のプロセスでは、ワンタむムパスワヌドはナヌザヌの明瀺的な芁求に基づいおのみ生成されるため、䞍審なOTPの通知は垞に譊戒すべきです。

いいなず思ったら応揎しよう