Go to Qiita Advent Calendar Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@kanagawa41

【セキュリティ】怪しい営業メールを技術的に分析してみた

Posted at

はじめに

先日、Salesforce関連の怪しい営業メールが届いたので、セキュリティエンジニアの視点から技術的に分析してみました。フィッシングメールの見分け方や、メールヘッダーの読み方について解説します。

受信したメール概要

送信者: Lxxx Sxxx lxxx.s@kxxx.com
件名: AI + Salesforce = 売上加速(東京開催)
内容: Salesforce関連のイベント案内と事前相談の営業メール

一見すると普通の営業メールに見えますが、詳しく分析すると多くの問題点が見つかりました。

技術的な問題点の分析

1. SPF認証の失敗

spf=softfail (google.com: domain of transitioning lxxx.s@kxxx.com 
does not designate 209.85.220.41 as permitted sender)

問題点:

  • SPF(Sender Policy Framework)認証がsoftfailになっている
  • 送信者ドメインが指定したIPアドレスからの送信を許可していない
  • なりすましメールの典型的な特徴

2. 送信時刻の不整合

From header: Mon, 6 Oct 2025 12:31:09 +0530 (インド時間)
Received:    Mon, 06 Oct 2025 00:01:20 -0700 (PDT)

問題点:

  • 時差を考慮しても約30分の差がある
  • メールサーバーの設定ミスまたは意図的な偽装の可能性

3. メール形式の不自然さ

multipart/alternative構造:

Content-Type: multipart/alternative; boundary="000000000000c69e130640780494"

--000000000000c69e130640780494
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: base64

--000000000000c69e130640780494
Content-Type: text/html; charset="UTF-8" 
Content-Transfer-Encoding: base64

問題点:

  • テキスト・HTML両方がbase64エンコード
  • 通常の営業メールでは不必要に複雑
  • 内容の隠蔽を意図している可能性

内容面での問題点

1. 件名の不自然さ

base64デコード結果:

AI + Salesforce = 売上加速(東京開催)
  • 英語と日本語の不自然な混在
  • 典型的なスパムメールの件名パターン

2. 宛先の問題

To: txxx.kxxx@fxxx.co.jp, 
    hxxx.axxx@fxxx.co.jp,
    txxx.hxxx@fxxx.co.jp
  • 同一企業の複数人への一斉送信
  • 個人を特定した営業というより無差別送信の様相

3. 本文内容の問題

  • 具体性に欠ける抽象的な表現
  • 緊急性を煽る文言(「11月開催」「事前ディスカッション」)
  • ROI実現等の誇大な表現

HTMLメールとトラッキングの分析

HTMLメール構造

<div dir="ltr">
  <p style="font-family:-apple-system,BlinkMacSystemFont,...">
    こんにちは チーム、
  </p>
  <!-- 以下本文 -->
</div>

トラッキング要素のチェック

以下の典型的なトラッキング要素は検出されませんでした:

  • ✅ 1x1ピクセル透明画像なし
  • ✅ 外部サーバーへの画像読み込みなし
  • ✅ JavaScriptなし
  • ✅ トラッキングビーコンなし

ただし、HTMLメールである限り、何らかの形で開封追跡される可能性は否定できません。

セキュリティ対策の推奨事項

1. メールクライアント設定

  • 外部画像の自動読み込みを無効化
  • HTMLメールよりテキスト表示を優先
  • 不明な送信者からのメールは慎重に扱う

2. 企業での対策

# SPFレコードの例
v=spf1 include:_spf.google.com ~all

# DMARCレコードの例  
v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.com
  • SPF、DKIM、DMARC設定の徹底
  • メールセキュリティソリューションの導入
  • 従業員へのセキュリティ教育

3. 個人での対応

  1. 即座に削除 - 返信・クリック厳禁
  2. 会社への報告 - 情報共有で被害拡大防止
  3. ドメインブロック - 今後の類似メール防止

まとめ

今回分析したメールは、以下の理由からフィッシング/詐欺メールの可能性が高いと判断されます:

  • SPF認証失敗
  • 送信時刻の不整合
  • 不自然なメール構造
  • 誇大な営業内容

メールセキュリティにおいて重要なのは、技術的な検証内容の精査の両面からアプローチすることです。疑わしいメールを受信した際は、感情的に判断せず、冷静に分析することをお勧めします。

参考情報

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?