迷惑メール「※必ずご確認下さいませ※」を解析してみた

フィッシング

2025.12.112025.12.12

androidスマホのドコモメールで受信した迷惑メールを解析していきます。

以下の画像は、サンダーバードで開いた今回の迷惑メールです。

最初に、今回スマホで受信した不審メールを、スマホのメールメニュー「メール保存」で保存し、解析用のＰＣに移動させて、サンダーバードで開いて閲覧しようと思います。

が、スマホでメールを保存すると、vmg形式(vMsessage Format)になるので、サンダーバードで読めるようにeml形式に変換しました。

※メモ帳とかのテキストエディタにvmgファイルをぶち込んでやればヘッダ情報を見ることはできます。

vmgファイルをemlに変換するには、一番簡単なのは、拡張子を.eml に書き換えることです。

ということで、拡張子を.emlに書き換えると、無事にサンダーバードで開けました。

これはベタなフィッシングメールでしょうね。

まずは、ヘッダを見てみましょう。

送信元は、Receivedで書かれている以下のところ。

Received: form docomo.ne.jp ([10.242.32[.]69])

by mfsmax.docomo.ne.jp

10.242.32[.]69なのでプライベートアドレスですね。

携帯キャリアは、同じキャリア同士のメールの送受信の際には、そのキャリアの内部ネットワーク（今回だとドコモ内部ネットワーク）で通信するので、Received がプライベートアドレスになっているということは、ドコモユーザーの端末が送信元である可能性が考えられます。

さらにReceived には、by mfsmax.docomo.ne.jp とあることから、一番最初にドコモサーバを経由したということは、やはりドコモ端末が送信元になっている可能性がありますね。

Fromには、qs1a0p7tecwvharv88m7@docomo.ne[.]jp のように、ランダムのメアドでテキトウ感が満載ですが、～@docomo.ne.jpとなっているということは、先ほどのドコモユーザー送信元説からすると、偽装じゃなくて本物のメアドの可能性があります。たぶん。

偽装は、ReceivedとFromのドメインが一致していない。。。というような特徴がありますので。

Message-IDは、 <vms66ssj-5inxdm0xc0@docomo.ne[.]jp>となっていますね。

Message-IDは、メールサーバが発行した識別子のようなものです。これもドメインがdocomo.ne.jpになっていることから、やはり送信元はドコモ端末と考えていいですね。

というわけで、qs1a0p7tecwvharv88m7@docomo.ne[.]jpをググってみましょう。

結果は該当無しでした。。。

では気を取り直して、ソースコードを見てると、この部分はBase64 になっていますね。

CyberChefでデコードすると、以下のリンクになります。

https://autumnwind-sky[.]com/kduzyy/zxsmejh/rpvmh/ltpjflm

迷惑メールに表示されていたリンク部分ですね。

では、このリンク先を見てみましょう。

リンクを踏むと、https://thistlebreak-cove[.]com/～にリダイレクトします。　

→→確認はコチラから←←←　をクリックしてみます。

すると、「受信メール　From:FCM資産援助専用受付」と記載されたページが表示されます。

末尾に入力フォームが掲載されています。

が、入力欄が「件名」「本文」となっているため、引っかかった人は個人情報を入力せずにすみそうです。

ちなみに、空欄のまま送信を押すと、このページがリダイレクトされます。

ためしに、「件名」と「本文」を記入して送信確認を押してみましょう。

「送信確認」をクリックすると、確認画面に遷移します。

「送信する」を押すと、なぜか、元のメールの「受信メール」の画面に戻ります。

しかし、、、この入力フォームではフィッシングになりませんね。

それぞれのURLをaguseで調べてみましょう。

aguseの結果、

・https://autumnwind-sky[.]com　のIPアドレスは、13.249.74[.]71

・https://thistlebreak-cove.com　のIPアドレスは、172.67.160[.]218

と判明しました。

それぞれwhois してみましょう。

13.249.74[.]71

AMAZO-CFと表示されたことから、Amazon CloudFrontだと判明しました。

Amazon CloudFrontは、アマゾンのCDNサービスです。

172.67.160[.]218

これは、Claudflare社が管理するネットワークです。

これ以上の深堀りは無理そうですね。。。。

それぞれvirustotalでスコアを見ても、特に何もないです。。。。

というわけで、今回の迷惑メールは、フィッシングリンクからサイトに移動して「件名」と「本文」を入力させるという、個人情報窃取になっていない、よくわからん迷惑メールでした。

コメント

タイトルとURLをコピーしました