気がつけば既に3576時間、プロブロガーになりたい俺が時の中で生きる日々

単身赴任中、持て余した時間の中で何でも書いてます。雑記に近いかも・・・

今週もまたやって来ました。何時もの定番になったのでちょっと麻痺しだした。マズイね!

スポンサーリンク あとで読む

こんばんは、サイト管理者のふぇいやんです。また1週間がはじまりましたが、今日もまたおなじみの物がやって来ましたよ〜。

 

ホント、こりないよね〜。感心しちゃう。

f:id:sek-loso0228:20170612195833j:plain

 

今日も帰宅後にmacを立ち上げて、メールソフトを起動してみると何やら迷惑メールにまた何か入ってる。

 

どれどれ・・・・

 

はぁ〜、まただよ。表題が「請求書」と言うメール。まったくもぉ〜、ご丁寧にまたExcelのファイルが添付されているじゃないですか。

 

あ〜ぁ、いかにもってな感じのメールですね。今回はウィルスバスターは反応はしませんでしたが、表題が怪しすぎるのでメアドでネット検索をしてみました。

 

今回ののメアドは「mmiya@lagoon.ocn.ne.jp」と言うもの。これ自体はネットは引っかかりませんでしたが、@以降のアドレスえはヒットしました。

 

 

 

どうやら@より前はいろんなパターンがあるようですが、@以降のアドレスは同じみたいです。これって、OCNのサブドメインですよね。

 

中の文面も変で、同じ内容が2回書かれている。って言うかコピペしたのが2回貼っちゃったって感じだね。

 

文としては至って普通で下記のように書いてあった。

いつもお世話になっております。

 

請求書送付させて頂きます。

 

宜しくお願い致します。

 だってさ。割りとまともな日本語で機械翻訳っぽくないね。

 

ヘッダーを見てみると、面白いことが分かったよ。Fromアドレスは、mmiya@lagoon.ocn.ne.jp なんだけど、Return-Pathはclods938@interia.eu になっています。smtp.mailfromはReturn-Pathと同じアドレス。

 

Receivedも5段くらいで受信しているので、多段で発信元を隠そうとしているみたいに見えるね。

 

Message-Id:<b6f2b244-2032-e3a7-b6f2-@qobacon.lalomet.lu>とまた別のアドレスが付いていた。

 

どちらも欧州のドメインだね。interiaってのは結構使われてる。

 

Authentication-Results: rcpt-imp.biglobe.ne.jp; spf=fail smtp.mailfrom=clods938@interia.eu; dkim=none;

dmarc=none header.from=mmiya@lagoon.ocn.ne.jp

 

ということで、ここまでチェックしたけど送信ドメイン認証のSPFDKIMともにnoneとなっており

  1. 送信元アドレスを認証する為の情報が登録されていない
  2. 署名が付与されていない

という事で分かりませんでした。

 

ちょっと分かっていたつもりでトレースしてみましたが、結局何も分からずで自分のスキルの無さを暴露してしまいました。

 

 

今度は、ウィルスバスターが反応したメールで確認してみようかな。

 

ヘッダーを覗くと、いろんな事が見えてくるので面白いね。

 

 

てなことで、毎度毎度来るので麻痺しだして、ちょっと分析までしてしまいました。分析ってレベルまで行ってないかもしれませんが、わたしのレベルではこんなもんです。

 

添付されていたExcelも開けては見ませんが、ASCII化されたソースを見ると同じキャラクターが連続していました。

 

Excelファイルって、Openofficeなんかで開いたらどうなるんかな?マクロとか使えないので意味ないと思うけど、怖くて出来ないよな。

 

 

今日は暇つぶしに、こんなことをやってみましたという報告です。

 

 

 

 

 

今日も読みに来ていただきありがとうございます。これに懲りず、また来てくださいね。