フィッシングメール分析レポート(OSINT / 初動対応)
1. 概要
本レポートは、受信したメール1通について、
フィッシング詐欺の可能性を評価し、
技術的・内容的観点から危険性を判断したものである。
2. メール基本情報
- 件名:〜BCAS次期対策済み〜値上げ前の最後のセール
- 受信日時:2026/01/03 土曜日 21:48
- 送信元表示名:yvlvu42@hdhweowfqwd.org
- 送信元アドレス:yvlvu42@hdhweowfqwd.org
- 宛先:●●●1min@yahoo.co.jp
3. 本文の特徴(内容分析)
- 緊急性の強調:有「まもなく次期コードに変更になります 当社のカードは次期対策済み 今後値上げ予定です」との文言が緊急性を煽っている
- 行動要求の有無:有「リンク先 https://bom.so/MchgAz」
- 不自然な表現・構成:「次期」→「磁気」の誤変換
4. ヘッダ分析(技術的分析)
4.1 Receivedヘッダ
- 抽出した送信元IP:220.88.220.214
- IPの位置(最下段Received):最下段Received:From
- 内部IP除外:RFC1918に該当する内部IPは確認されなかった
4.2 認証結果
- SPF:SPFは none であり、送信ドメインにSPFレコードが設定されていない、または送信元IPの正当性を検証できない状態であった。
- DKIM:neutral (no sig)(DKIM署名が存在しない)
- DMARC:none(DMARCポリシー未設定)
5. URL / ドメイン分析(OSINT)
5.1 抽出URL
- 表示URLおよびクリック先URLはいずれも https://bom.so/MchgAz であり、
表示文字列と実体URLの乖離は確認されなかった。
なお、当該URLは短縮URLであり、最終的な遷移先については
別途リダイレクト解析が必要である。
5.2 抽出URLのドメイン情報
- 登録日:不明
- レジストラ:不明
- ASN / ホスティング事業者:- ASN / 回線事業者:Korea Telecom(韓国)
6. 難読化・回避技術の有無
- 不要文字挿入:本文中に不自然な文字列混入が確認された
- ゼロ幅文字:視認上は判別困難だが、難読化の可能性あり
- 表示文字と実体の乖離:確認されなかった
7. 危険性の判断(結論)
本メールをフィッシングと判断した理由は以下の3点である。
-
SPF・DKIM・DMARCがすべて none / no sig であり、
送信ドメインの真正性および改ざん耐性が確認できない。 -
SMTP初回接続元IPが Korea Telecom の回線に属し、
逆引きDNSも存在しないことから、
正規サービスのメール送信基盤とは考えにくい。 -
支払い情報の更新を促す緊急性の高い文言と、
短縮URLを用いた誘導が確認され、
典型的なフィッシング構文と一致する。
8. 最終判定
- 判定:Phishing
- 推奨対応:
- 当該メールの削除
- URLへのアクセス禁止の周知
- 同一件名・送信元の横展開確認