~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~

報告

HOME > ニュース > インタビュー > NEWS LETTER No. 10:フィッシングメールのヘッダ解析

インタビュー

NEWS LETTER No. 10:フィッシングメールのヘッダ解析

2008年11月25日

実際に届いたフィッシングメールを例に、フィッシング詐欺メールは何処から送信されてくるのか、そのメールヘッダから確認する方法をご紹介します。

 

newsletters.jpg
1.はじめに

フィッシング対策協議会では、2008年9月下旬にUFJカードをかたるフィッシング詐欺メールのご報告を多数頂きました。実際に届いたメールを例に、フィッシング詐欺メールは何処から送信されてくるのか、そのメールヘッダから確認する方法をご紹介します。

2.メールヘッダの確認方法

メールヘッダはメール送受信時の記録で、メール本文以外の様々な情報が含まれています。例えばMicorsoft社のOutlookExpressの場合、「メールを右クリック→[プロパティ]→[詳細]タブ(このメッセージのインターネットヘッダ)」で見ることができます。
以下に実際に届いたUFJカードをかたるフィッシング詐欺メールのメールヘッダ(一部抜粋)を示します。なお、各行の左側の数字(1: や 2: など)は、メールヘッダの行を表しています。また、A.A.A.Aなど画面上赤色で示している部分は、実際のものを編集しています。

 

nl10_1.jpg

 

図1:フィッシングメールヘッダの実例(一部抜粋)

 

まず1行目を見てみましょう。これは、ホスト名が sender.example.com でIPアドレスがB.B.B.B というマシンから、ホスト名receive.example.comというマシンへメールが届けられたことを示しています。その日時はGMT+9時間(日本の時間帯がGMT+9時間です)で2008年9月25日木曜日13時25分20秒に到着したことが分かります。

 

nl10_2.jpg

 

2行目も同様に、ホスト名がlocalhost.com、IPアドレスがA.A.A.Aというマシンから、ホスト名sender.example.com というマシンへメールが届けられています。その日時はGMT-5時間(アメリカの東部標準時がGMT-5時間です)で2008年9月24日水曜日20時9分5秒に到着したことが分かります。

 

nl10_3.jpg

 

Received:と表記されているヘッダは以上2件のみとなっています。場合によってはこのReceived:ヘッダがさらに複数行存在する場合もありますが、上記のように順番に参照することで、どこから送信されたメールなのかが分かるようになっています。このフィッシング詐欺メールの場合、A.A.A.AのIPアドレスを持つマシンから送信されたことが分かります。
次の行は、メールに返信した場合の宛先を示しており、OutlookExpressを含めほとんどのメールクライアントでフィッシング詐欺メールに返信すると、localhost@localhost.com 宛てに送信されるよう設定されます。

 

nl10_4.jpg

 

4~6行目がそれぞれこのメールの送信者、宛先、件名としてメールクライアントに表示される部分です。また、7行目は、メールの送信時刻を表しています。

 

nl10_5.jpg

 

なお、このようなフィッシング詐欺メールだけでなく、スパムと言われる迷惑メールも含め、インターネット上でやり取りされるメールは、このようにメールヘッダを確認することでどこから送信されたのかが分かるような仕組みとなっています。

3.不正なメールの判断例

残念ながらメールヘッダだけからフィッシング詐欺メールかどうか判断することはできません。しかし、フィッシング詐欺メールかどうかを判断するために役立つ情報をいくつか得ることができます。例えば、図1の例の場合、Reply-toの宛先が localhost@localhost.comという届かないメールアドレスになっています。通常このような送信できないメールアドレスをReply-toに指定することはありません。
また、メール送信元マシンのホスト名(もしくはIPアドレス)を確認することも重要です。通常は、送信元のメールアドレスと送信元マシンのホスト名もしくはIPアドレスのドメイン名が一致します。今回の場合、送信元メールアドレスはweb@ufjcard.comとなっていますが、送信元のIPアドレスA.A.A.Aは、実際にはアメリカのとあるISPが管理しているIPアドレスとなっていました。つまり、メール送信元アドレスは全く無関係なところから送信されたメールであることが分かります。
なお、ドメイン名とIPアドレスとの関連は、Whois というサービスで参照することができます。 Whois に関しては、以下の関連情報などを参照してください。
また、今回ご紹介したようなメールヘッダの解析は、aguseというサービスを活用すると、Whoisでの確認も含めて簡単に行うことができます。

 

○関連情報
・WHOISとは(社団法人日本ネットワークインフォメーションセンター)
http://www.nic.ad.jp/ja/whois/index.html
・Whois とは(株式会社日本レジストリサービス)
http://jprs.jp/info/whois/
・aguse(株式会社アイスクエア、アグスネット株式会社)
http://www.aguse.jp/

4.まとめ

実際に届いたメールを例に、メールヘッダの確認方法をご紹介しました。フィッシング詐欺メールかな?と思うような怪しいメールが届いた場合、メールヘッダを確認してみることも重要です。怪しい思ったら、メール本文にあるリンクを安易にクリックせず、さまざまな方法で確認し、フィッシング詐欺に騙されないようにご注意ください。