見出し画像

20240122-A(三井・カード)

ヒル

提供されたメールヘッダーの詳細な分析を行ってください。すべての「Received」行を調査し、各IPアドレスの起源を特定してください。また、SPFとDKIMの結果を解釈し、セキュリティ上の懸念があるかどうかを確認してください。送信元ドメインの信頼性についても評価してください。
「Return-Path:
admin@eystaect.com
Received:
from ifmta0012.nifty.com
by ibmta0012.nifty.com
with ESMTP
id 20240121155611641.HGXG.94167.ifmta0012.nifty.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Mon, 22 Jan 2024 00:56:11 +0900
Received:
from mail4.eystaect.com([198.12.107.148])
by ifmta0012.nifty.com
with ESMTP
id 20240121155611289.YUIJ.91631.mail4.eystaect.com@nifty.com
for xxxxxxxx@xxxxx.nifty.ne.jp;
Mon, 22 Jan 2024 00:56:11 +0900
Authentication-Results:
nifty.com; spf=pass smtp.mailfrom=admin@eystaect.com; sender-id=pass header.From=admin@eystaect.com;
dkim=pass header.i=admin@eystaect.com;
dkim-adsp=pass header.from=admin@eystaect.com
DKIM-Signature:
v=1; a=rsa-sha1; c=relaxed/relaxed; s=default; d=eystaect.com;
h=Date:From:To:Subject:MIME-Version:Message-ID:Content-Type; i=admin@eystaect.com;
bh=GbfWouyo6mopJu15xfj/xmgxFnc=;
b=dUJbDNI76925t+EBetU2D6ZfkNP4YykPc0oNQYQuDHPct2b4xNRO2FeNzu+mh81QW2XGts66cRBT aA9kG3EluesWfs78OjHP9GE1XKWOo2NocvG44WlrduLLLWLVUyJu7gDJA/MHzbiOSIPQMoXC9itX 4ynsPBV+cDaffuiaDks=
Date:
Sun, 21 Jan 2024 23:55:55 +0800
From:
SMBC admin@eystaect.com
To:
hiruta xxxxxxxx@xxxxx.nifty.ne.jp
Subject:
【重要なお知らせ】三井カードご利用確認のお願い
MIME-Version:
1.0
Message-ID:
FBCE5BD1.166071@czwpffhyvz
Content-Type:
multipart/alternative;
boundary="NetEase-FlashMail-001-95f75857-9ee9-63a6-011e-26479ed82515"」

提供されたメールヘッダーを詳細に分析します。この分析では、各「Received」行のIPアドレスの起源を特定し、SPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)の結果を解釈し、送信元ドメインの信頼性を評価します。

Received ラインの分析

  1. 最初のReceived行

    • 送信元: mail4.eystaect.com ([198.12.107.148])

    • 受信サーバー: ifmta0012.nifty.com

    • 説明: この行は、mail4.eystaect.comからifmta0012.nifty.comへのメール送信を示しています。IPアドレス198.12.107.148の起源を特定する必要があります。

  2. 次のReceived行

    • 送信元: ifmta0012.nifty.com

    • 受信サーバー: ibmta0012.nifty.com

    • 説明: この行は、nifty.com内のサーバー間でのメール転送を示しています。ifmta0012.nifty.comからibmta0012.nifty.comへの内部転送です。ここには外部IPアドレスの起源を特定する情報は含まれていません。

SPFとDKIMの結果の解釈

  • SPF: `spf=pass smtp.mailfrom=admin@eystaect.com` は、送信元ドメインがeystaect.comからのメール送信を許可していることを示しています。これはSPFチェックに合格したことを意味します。

  • DKIM: `dkim=pass header.i=admin@eystaect.com` は、メールが送信元ドメインによって正しく署名され、途中で改ざんされていないことを示しています。

  • DKIM-ADSP: `dkim-adsp=pass header.from=admin@eystaect.com` も、ドメインのメッセージ認証ポリシーに関して正しい設定がされていることを意味します。

送信元ドメインの信頼性

このメールは、SMBCという名前で送信されていますが、ドメインはeystaect.comとなっており、通常の三井住友カード(SMBC)のドメインとは異なります。これはフィッシングや詐欺の可能性があるため、送信元ドメインの信頼性に疑問が生じます。

セキュリティ上の懸念

  • フィッシング詐欺の可能性: メールの内容が三井カードの利用確認を装っており、送信元が正規の三井住友カードのドメインではないため、受信者を騙して個人情報を抜き取ろうとするフィッシング詐欺である可能性が高いです。

  • SPFとDKIMのパス: これらの認証メカニズムがパスしているため、メールが改ざんされずに送信されたことは確かですが、それだけで送信元の意図が正当であるとは限りません。

IPアドレス198.12.107.148の起源特定

このIPアドレスの地理的位置や所有者情報を特定することで、さらなる情報を得ることができます。次に、198.12.107.148の起源を特定します。

申し訳ありませんが、この環境では`ipwhois`モジュールを使用して直接IPアドレスの情報を検索することはできません。しかし、198.12.107.148の起源を調査するためには、一般的に使用されるオンラインのIPアドレスルックアップツールやwhois検索サービスを利用することが推奨されます。これらのツールを使用することで、IPアドレスの割り当てられた組織、地理的位置、および接続されたネットワーク情報など、詳細な情報を取得することが可能です。

特に、198.12.107.148に関する情報は、ARIN (American Registry for Internet Numbers) やRIPE (Réseaux IP Européens) などの地域インターネットレジストリ(RIR)の公式ウェブサイト、または信頼できる第三者のIPアドレスルックアップサービスを使用して検索できます。

セキュリティ上の推奨事項

  • 確認: 受信したメールのリンクや添付ファイルを開く前に、メールの送信元を慎重に確認してください。

  • 公式ウェブサイトの利用: もしメールの内容が真実であるか疑問がある場合は、直接公式ウェブサイトにアクセスし、公式の連絡先を通じて確認してください。

  • セキュリティソフトウェアの利用: 最新のセキュリティソフトウェアを使用して、フィッシングやマルウェアから保護してください。

メールの内容や送信元が疑わしい場合、特に個人情報や金融情報を求める内容であれば、直接関連する組織に確認を取ることが最も安全な対処法です。

IPアドレスの場所はここ。

アップロードされたスクリーンショットから、IPアドレス198.12.107.148がアメリカ合衆国イリノイ州エルクグローブビレッジに位置していることが確認できます。ホスト名は198-12-107-148-host.colocrossing.comと表示されています。ColoCrossingは、ホスティングサービスを提供する会社のようです。

この情報に基づいて、メールの送信元となる198.12.107.148のIPアドレスが、米国内のホスティングプロバイダーに属していることがわかります。ただし、ColoCrossingが提供するサービスはさまざまであり、必ずしも詐欺的な活動と直接関連しているわけではありませんが、フィッシング攻撃や詐欺に利用される可能性があるため、警戒が必要です。

メールの信頼性についての以前の分析に加えて、このIPアドレスの情報はメールが正規の金融機関から送信されたものではないことを示唆しています。フィッシングメールはよく合法的なサービスを偽装し、信頼できる企業のように見せかけるため、このメールが三井カードのものであると信じるには十分な理由がありません。

このような状況では、メールに含まれるリンクをクリックしたり、個人情報を入力したりすることは避け、問題のメールに対しては、三井カードの公式ウェブサイトにアクセスするか、公式のカスタマーサポートに直接連絡を取ることをお勧めします。

テキスト部分はこれ。
「【三井カード】利用いただき、ありがとうございます。

このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。

つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。

■ご利用確認はこちら

ご不便とご心配をおかけしまして誠に申し訳ございませんが、何とぞご理解賜りたくお願い申しあげます。

■発行者
三井住友カード株式会社
〒135-0061
東京都江東区豊洲2丁目2番31号
SMBC豊洲ビル

────────────────────────────
Copyright (C) Sumitomo Mitsui Card Co., Ltd.
無断転載および再配布を禁じます。」

アップロードされたテキストは、三井住友カード株式会社を名乗るメールからの抜粋のようです。このメールは、カードの利用を一部制限しており、カードの利用確認を求める内容となっています。しかし、先に分析したメールヘッダ情報と併せて考えると、以下の理由でこのメールが正規の三井住友カードからのものでない可能性が高いです。

  1. ドメインとメールの矛盾: メールヘッダにおける送信元ドメインはeystaect.comであり、三井住友カードの公式ドメインではありません。

  2. IPアドレスの起源: メールの送信元となるIPアドレスは、アメリカのホスティングプロバイダーに属しており、三井住友カードとは関連がないようです。

  3. セキュリティ上の疑念: 通常、正規の銀行やカード会社は、セキュリティ上の問題が発生した場合、電話での連絡や公式アプリ、または直接のウェブサイトでの確認を求めることが一般的です。メール内に記載されているリンクをクリックして情報を入力するよう求めることはまれです。

  4. メールの内容: メールには正式なメールアドレスや、問い合わせるための電話番号が記載されていないことが一般的です。また、リンクテキストの「ご利用確認はこちら」は実際にはリンクとして機能していませんが、実際のフィッシングメールではリンクが挿入され、不審なウェブサイトに誘導される可能性があります。

  5. フィッシングの特徴: このようなメールは緊急性や不安を煽り、利用者を騙して個人情報を入力させる典型的なフィッシング詐欺の手法を使っています。

対処法

  • リンクには注意: メールに記載されているリンクをクリックしないでください。

  • 公式情報の確認: 三井住友カードの公式ウェブサイトに直接アクセスして、お知らせや連絡方法を確認してください。

  • 直接連絡を取る: 疑わしいメールに対しては、三井住友カードの公式連絡先に直接電話をして確認してください。

  • 情報の共有を避ける: カード番号やパスワードなどの個人情報をメールで送信したり、入力することは避けてください。

以上の点に注意して、セキュリティを確保してください。

ブラウザ画面はこれ。html記述はこれ。分析して。
「<div class=container> <p>【三井カード】利用いただき、ありがとうございます。</p> <p>このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。</p> <p>つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。</p> <p><a href="https://www.kezjuyamazkm.com/">■ご利用確認はこちら</a></p> <p>ご不便とご心配をおかけしまして誠に申し訳ございませんが、何とぞご理解賜りたくお願い申しあげます。</p> <hr> <p>■発行者<br>三井住友カード株式会社<br>〒135-0061<br>東京都江東区豊洲2丁目2番31号<br>SMBC豊洲ビル</p> <p>────────────────────────────<br>Copyright (C) Sumitomo Mitsui Card Co., Ltd.<br>無断転載および再配布を禁じます。</p></div>」

メールイメージ

画像とHTMLコードから分析すると、このメールまたはウェブページのコンテンツは三井住友カードの公式コミュニケーションを模倣しているように見えますが、いくつかの要素がフィッシング詐欺を示唆しています。

HTMLコードの分析

  • `<a href="https://www.kezjuyamazkm.com/">■ご利用確認はこちら</a>`: この部分に記載されたURLが公式の三井住友カードのドメインではありません。フィッシングサイトは通常、正規のウェブサイトに似た偽のURLを使用します。`kezjuyamazkm.com`というドメインは信頼できるものではなく、フィッシングサイトへのリンクである可能性が高いです。

  • コンテナクラス (`<div class="container">`) を使用している点は通常のウェブ開発の慣習ですが、フィッシングサイトも同様のウェブ開発の手法を使用するため、これだけでは正当性を証明するものではありません。

メール/ウェブページコンテンツの分析

  • 発行者の情報 (`三井住友カード株式会社`) が記載されており、正規の企業情報を模倣していますが、上記で述べたURLの疑わしさと組み合わせると、その信頼性は大きく損なわれます。

  • コピーライトの記述 (`Copyright (C) Sumitomo Mitsui Card Co., Ltd. 無断転載および再配布を禁じます。`) は正規の企業からの通信に含まれる可能性がありますが、これもフィッシング詐欺において一般的に見られる偽装手法です。

セキュリティ上の推奨事項

  • 正規サイトの確認: 三井住友カードの公式サイトに直接アクセスして情報を確認してください。

  • 安全な方法での連絡: カードの利用状況に関する問い合わせは、公式ウェブサイトに記載されている連絡先を通じて行ってください。

  • リンクの使用を避ける: メールやウェブページに記載されているリンクをクリックしないでください。

  • パーソナル情報の共有を避ける: カード番号やパスワードなどの個人情報を入力する前に、送信先の正当性を十分に確認してください。

この分析に基づき、提供されたメールやウェブページはフィッシング詐欺である可能性が高いと考えられます。安全を最優先に考慮し、個人情報の保護には十分注意してください。

総務省に転送して、さようならだな。サンクス。

フィッシングの疑いがあるメールやウェブページに関して総務省に通報することは、他のユーザーが同様の詐欺に遭遇するのを防ぐために非常に重要です。ご対応いただきありがとうございます。

もし今後も何かお手伝いできることがありましたら、いつでもお声がけください。お役に立ててうれしいです。さようなら!

いいなと思ったら応援しよう!