見出し画像

20240731-A(【JR西日本:Club J-WEST】できるだけ早くアカウント認証を完了する:フィッシングメール)

ヒル

◆メールイメージ

ブラウザ表示

◆メールヘッダー解析
提供されたメールヘッダーの詳細な分析を行います。

1. 「Received」行の調査と各IPアドレスの追跡

1.1 Received: from ifmta1017.nifty.com by ibmta1017.nifty.com

  • Timestamp: Wed, 24 Jul 2024 12:25:28 +0900

  • IP Address: 106.73.193.32

  • Host Name: M106073193032.v4.enabler.ne.jp (Nifty server)

1.2 Received: from mail1.yxobchkhei.com ([192.227.191.86]) by ifmta1017.nifty.com

  • Timestamp: Wed, 24 Jul 2024 12:25:28 +0900

  • IP Address: 192.227.191.86

  • Host Name: Unavailable (Likely the sender's mail server or a compromised server)

IP Address Analysis:

  • 106.73.193.32 (Nifty server): Valid Nifty server IP.

  • 192.227.191.86: This IP address is suspicious. It is not associated with JR西日本 or any legitimate business domain. This IP address belongs to a range commonly used by small web hosting providers, which can be used by attackers for sending spam or phishing emails.

2. SPFとDKIMの結果の解釈

SPF(Sender Policy Framework):

  • Result: Pass

  • Explanation: The SPF check for the domain `yxobchkhei.com` returned a pass, indicating that the sending server is authorized to send emails on behalf of this domain. However, since the domain itself is suspicious, this result should be interpreted with caution.

DKIM(DomainKeys Identified Mail):

  • Result: Pass

  • Explanation: The DKIM check passed, meaning the email's digital signature matches the sending domain `yxobchkhei.com`. Again, the domain itself is not well-known or trusted, so this result alone does not guarantee legitimacy.

3. セキュリティ上の懸念

  • Suspicious IP Address (192.227.191.86): This IP address does not belong to JR西日本 or any well-known email provider, making it highly suspicious.

  • Domain (yxobchkhei.com): This domain does not appear to be legitimate or associated with JR西日本. The domain name structure and its unrecognized status increase the likelihood of it being used for malicious purposes.

  • Phishing Indicators: The email claims to be from JR西日本 and urges the recipient to complete account verification, a common tactic used in phishing scams to harvest personal information.

4. 送信元ドメインの信頼性評価

  • Domain: yxobchkhei.com

  • Assessment: This domain is highly suspicious and does not appear to be associated with any legitimate organization, especially not JR西日本. The combination of a suspicious domain name and the urgency in the email content strongly suggests this is a phishing attempt.

結論

  • フィッシングメールの可能性が非常に高いです。このメールは、ユーザーの個人情報を狙った詐欺の一環として送信された可能性があります。

  • アクション: このメールを開かず、リンクをクリックせず、添付ファイルをダウンロードしないように注意してください。また、このメールを適切なセキュリティ部門やサービスプロバイダに報告することをお勧めします。

推奨アクション

  1. リンクをクリックしない:

    • メール内のリンクをクリックしないようにしてください。

  2. メールを報告:

    • このメールをメールサービスプロバイダやセキュリティチームに報告してください。

  3. 追加のセキュリティ対策:

    • フィッシングメールに対する警戒を強化し、セキュリティソフトウェアを最新の状態に保つことをお勧めします。

◆HTML記述構造解析
提供されたHTMLメールの記述構造を解析し、フィッシングメールの可能性について検討します。

1. HTML構造の解析

以下は提供されたHTMLの解析です:

<span style="font-size:14px;font-family:Arial;">
    <p><img border=0 hspace=0 alt="" src="https://clubj.jr-odekake.net/shared/pc/pc/cjw/img/logo_all.gif" align=baseline></p>
    <p>日頃より「 JR西日本」をご利用いただきありがとうございます。</p>
    <p>●当社は724日にシステムを更新する予定です。<br>&nbsp;&nbsp;<span style="position: absolute; top: -8362px; left: -7477px;">885</span>&nbsp;<span style="position: absolute; top: -5541px; left: -7355px;">7702</span>&nbsp; 
    <br>●アカウントに長期間ログインしていないため、</p>
    <p>●24時間以内にアカウントにログインして関連情報を更新してください。<br>&nbsp;&nbsp;<span style="position: absolute; top: -8373px; left: -8006px;">Dsrojg</span>&nbsp;<span style="position: absolute; top: -7471px; left: -7375px;">Kqbl</span>&nbsp; 
    <br>●アカウント情報を更新しない場合は、アカウントを削除させていただきます。</p>
    <p>●ご協力ありがとうございます。 <br>&nbsp;&nbsp;<span style="position: absolute; top: -5409px; left: -7155px;">cyQp</span>&nbsp;<span style="position: absolute; top: -7382px; left: -5247px;">EvdqQ</span>&nbsp; 
    <br>▼ログインはこちら<br><a href="https://www.ics606.com">https://wester.jr-odekake.net/shared/pc/login1.do?JRSSID=0401&RTURL=http%3A%2F%2Fwww.jr-odekake.net%2F&NTURL=member_support_top.do</a> 
    </p>
    <p>※お早めに手続きを継続してくだい。<br>(有効期間は3日間です)<br>━━━━━━━━━━━━━━━━━━━━━━━<br>■発行:JR西日本 WESTER会員事務局 
    <br>※このメールをお送りしているアドレスは送信専用です。返信していただいてもご回答いたしかねますので、ご了承ください。 
    <br>&nbsp;&nbsp;<span style="position: absolute; top: -5471px; left: -4410px;">ucwgz</span>&nbsp;<span style="position: absolute; top: -7769px; left: -5733px;">hmllq</span>&nbsp; 
    <br>※お客様の登録されている会員情報を基に本メールマガジンを配信しております。<br>万が一、文面に誤った会員情報がございましたら、マイページより会員情報のご確認・ご修正いただきますようお願いいたします。</p>
    <p>また仮にマイページの会員情報に誤りがなかった場合は、一度お問い合わせ窓口(0570-00-8999)へご連絡いただけますと幸いです。 
    <br>&nbsp;&nbsp;<span style="position: absolute; top: -4702px; left: -6380px;">WDXOW</span>&nbsp;<span style="position: absolute; top: -6461px; left: -6095px;">QAUMOQ</span>&nbsp; 
    <br>━━━━━━━━━━━━━━━━━━━━━━━<br>Copyright(C) WEST JAPAN RAILWAY COMPANY 
    All rights reserved.<br>本メールの無断転載を禁止します。 <br></p>
    <p></p>
</span>

2. フィッシングメールの疑いポイント

  1. 隠しテキスト(Invisible Text):

    • `<span style="position: absolute; top: -8362px; left: -7477px;">885</span>` のように、ページ外に配置されるテキストが多数存在します。これはスパムフィルターを回避するためのテクニックです。

  2. リンクの不一致:

    • 表示されているリンクと実際のリンクが異なります。表示されているリンクは `https://wester.jr-odekake.net/...` ですが、実際のリンク先は `https://www.ics606.com` です。これはフィッシングの典型的な手法です。

  3. 疑わしいリンク先:

    • 実際のリンク先 `https://www.ics606.com` は、JR西日本の公式サイトではなく、フィッシングサイトの可能性があります。

  4. 緊急性を強調:

    • 「24時間以内にログイン」「アカウント削除」など、緊急性を強調する文言が含まれています。これは受信者を急かして行動を促すための典型的なフィッシング手法です。

  5. 一般的なエラーと不自然な文言:

    • 「お早めに手続きを継続してくだい」のような、微妙に不自然な日本語が含まれています。フィッシングメールでは、非ネイティブが作成したために微妙に不自然な文が含まれることが多いです。

3. 結論と推奨事項

このHTMLメールは、フィッシングメールの典型的な特徴を多く含んでいます。以下のアクションを推奨します:

  1. リンクをクリックしない:

    • メール内のリンクをクリックしないでください。

  2. メールを報告:

    • メールサービスプロバイダやセキュリティチームに報告してください。

  3. 追加のセキュリティ対策:

    • フィッシングメールに対する警戒を強化し、セキュリティソフトウェアを最新の状態に保ってください。

◆対処
総務省に転送して、お終いにする。

いいなと思ったら応援しよう!