迷惑メールをフィルタリングするためにメールヘッダーを調べたら、やっぱりあの国か
迷惑メールが多い中、フィルタリングしていてもかいくぐってくる優秀(?)な迷惑メールを、たまに精査しています。精査といってもザッと目を通すくらいで、ボタン1つでOKなんですけどね。
中には正規のメールも含まれていて、間違いを戻す意味合いもあります。
その正規のメールと呼ばれる企業がどうしようもない道徳観が多い。金を稼げば何でもいいという風潮はまだ続くのでしょうか。
迷惑メールも新たなフィルタリングでかなり防げたので、調べたメールと一緒にご紹介しておきます。
銀行を語るメール
迷惑メールで多い銀行系のメール。特にウチでは三井住友さんが圧倒的です。
今回はPayPay銀行です。
【重要】不正出金被害防止のための本人確認(PayPay銀行)
つきましては下記へのアクセスの上ご登録された個人情報の確認のご協力をお願い致します。
→続けるにはこちらをクリック
※こちらのメールを受け取ったお客様専用のページになりますので、ほかのお客様はご利用いただけません。
メール抜粋
おいおい、「続けるにはこちらをクリック」は、もしも正規のメールならマズイと思うけどな。
正規のメールではこんな書き方はしないと思うんだけど、本文のこの部分だけコピペ後の追記された偽装かも知れません。
差出人
差出人を見ると、どうやらpaypay銀行のサブドメインで合っているっぽい。
PayPay銀行 info@cc.japannetbank.co.jp mailhmyp.ga
後半部、明らかにドメインがおかしいですよね。
ドメインはさておき、
実は、cc.japannetbank.co.jpというのは正規のアドレスでした。しかし、安心はできません。
引用:https://www.japannetbank.co.jp/security/crime/prv_phsh.html
PayPay銀行は、元はジャパンネット銀行でしたから、そのドメインも使用している状態です。
※送信元メールアドレス、当社サイトの一部において旧社名のドメイン(japannetbank.co.jp)を使用しています。
こういうことするから、社名とドメインが合わないことが多発します。
買収したら、そこは金をかけてすべて捨て去って欲しい。使い回すのはサービス名だけでいいよ。ホント、企業がいい加減すぎる。
これ、正規のメール?
いやいや、メールヘッダーを見ていきます。
メールヘッダーの読み方
同じITでもセキュリティ系は苦手です。
一部、伏せてありますがメールヘッダーの特定箇所を先ず見ます。メールヘッダーは偽装もできる部分があるとのことですから、全てを鵜呑みにはできません。
それでも変更できない部分から推察できます。
(前略)
Return-Path: <kefu@mailhmyp.ga>
Received: from mailhmyp.ga (mailhmyp.ga. [194.147.84.36])
by mx.google.com with ESMTPS id y20si1344921lfe.497.2021.10.13.16.48.59
for <xxxxxx@gmail.com>
(version=TLS1_2 cipher=ECDHE-ECDSA-AES128-GCM-SHA256 bits=128/128);
(日時表記) (PDT)
Received-SPF: pass (google.com: domain of kefu@mailhmyp.ga designates 194.147.84.36 as permitted sender) client-ip=194.147.84.36;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of kefu@mailhmyp.ga designates 194.147.84.36 as permitted sender) smtp.mailfrom=kefu@mailhmyp.ga;
dmarc=fail (p=NONE sp=NONE dis=NONE) header.from=cc.japannetbank.co.jp
Received: from okahrpazm (unknown [154.31.7.197]) by mailhmyp.ga (Postfix) with ESMTPA id 8BE7F4B8B9 for <xxxxxx@gmail.com>; (日時表記)
Sender: kefu@mailhmyp.ga
(後略)
Gmailで届いているので、googleは確認できて当然です。
Received: from okahrpazm (unknown〜のunknownは、個人的にすべて迷惑メールとして扱っています。本来は、ホスト名が入るハズです。DNSが合っていない(登録されていない)とこうなるハズ。
Received: from ホスト名 (ホスト名 [IPアドレス])
だから、Receivedにunknownでフィルタリングしてゴミ箱行きです。
一部、それでも正規のメールがあったとしても、数が少ないので目視でイケます。それにそもそもホスト名が確認できないならゴミと同等ですから気にしません。
メールヘッダー下部
メールヘッダーは、上部が送信先に関する内容で、下部が送信元です。メール内容自体の前についているからヘッダーです。
送信元となる部分の「Received:」辺りをよく読んで、検索すれば情報は出てきます。
このブログのように公開している人が居るからです。
gaドメイン
先程の中継されているドメインにmailhmyp.gaとありました。
「.ga」という見慣れないドメインです。
検索すれば一発です。ガボン共和国のドメインでした。
ガボン共和国の場所(外務省より)
約220万人の国だそうです。
アフリカだし、ドメインを販売して国が豊かになるなら、それはそれで仕方ありません。ガボン共和国は悪くありません。(本当にそうか知らない)
まぁ、でも安く販売しているのでしょう。
あまり見かけないドメインでした。
更に調べるとあの国
先ず、メルアドのドメイン「mailhmyp.ga」のIPアドレスを調べると、どうやら「10 mail.mailhmyp.ga.」とあり、登録はロシアのようです。
出た。ロシア。
ガボン共和国の国ドメインなのにね。jpドメインは日本在住でないと取れません。一体どうなっているのでしょうか。
更に記載されているメールアドレスである「kefu@mailhmyp.ga」を読み解きます。
この「kefu」は何となく引っかかりました。
ランダムにしては読める。プンプン匂います。
どこかの言葉かと思って、Google翻訳で調べる。
ほら、中国語だ。
「客服」と書くらしい。
ケフと読む。意味はカスタマーサービスです。これでお知らせとして届いたメールの内容とも一致します。
アカウント名も日本らしくすれば更に完成度が上がるのに、ここは中国語なんだな。バレバレ。
結論:なりすましメール
ここまでお読みいただければ、もう分かりましたよね。
PayPay銀行のなりすましメールであって、PayPay銀行はシロ(?)、ガボン共和国は利用されたドメインでシロ(?)ということでしょう。
流石にロシア人ではなかなか日本語を扱えません。だから、作成&実行している犯人は中国人で、ドメイン取得&利用を含めたサービス系をロシア、またはロシア経由で行っていると考えられます。
メール内容は本物のコピペです。それを少し変更して送っているのが実態でしょうか。
ガボン共和国の国ドメインとロシア、そして中国語ということで、エライ手の込んだ迷惑メールです。
そこまでしても引っかかる人が多く儲かるということでしょう。
あとは、中国とロシアがとても仲良しなので、ドメインやらサーバーやらを簡単にやり取りできるルール無用の状態だからともいえます。
ヨーロッパでも同じような構図の国はあります。これが格差であったり、人種の問題、そして拝金主義の結果なんでしょうか。儲かればなんでもOKな世界は仕方ないとしても、カオスですな。
迷惑メール・フィッシングメールは国際問題なんだな。たいそうな話です。
——そもそもメールの送信者
PayPay銀行
PayPayが全角文字の時点でおかしいけどな。
メーラーで判別
最近、多くの迷惑メールにあるメーラーが何かというX-Mailer:部分が、Microsoft Outlook Express 6.00.2900.5512とあるのに気が付いた。
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512
Microsoft Outlook Express バージョン6というのは、2001年のメーラーです。
ガボン共和国という情報も相まって、もしかしたらガチにMicrosoft Outlook Express 6をWindows2000マシンなど使い、人間が送信しているのではないかと疑ってしまいますね。
いや、ガボン共和国は悪くない。(たぶん)
今後はこのメーラーの内容によってもフィルタリングします。(※gmailだと指定できない)
最後になりますが、ジャパンネット銀行は解約済みです。送られてきた自分のメールアドレスは、世界中でダダ漏れしたgmailのメルアドです。
以上です。参考にしてください。
1つの対策手段
あくまでも1つの対抗手段として、メールアドレスを報告することができます。
これはAppleに限らず、どのサーバでもあります。そういうルールなんですね。
AbuseやWHOIS ——インターネット上での迷惑行為や不正行為を通報する窓口がある
AppleのiCloudメールで試しました。
