IT PORT

Season 1

© 2024 IT PORT

なりすましメールを確認してみる

By
約 6 分
なりすましメールを確認してみる

目次

はじめに
メールヘッダ
なりすます
最後に

はじめに

 少し前から「Emotet」と呼ばれるマルウェアが猛威を振るっているようなのでEmotetについて少し調べたのですが、所謂なりすましメールでマルウェアを送信しているもののようでした。

 そこで、電子メールにて「なりすます」とはどのようなものなのか、記事にします。

本記事は、Emotet対策の記事ではありません!

メールヘッダ

 今では当たり前のように使っている電子メールですが、一見すると「誰が」「誰に」「どんな内容を」送っているかという情報しか見えていません、しかし、一通の電子メールには裏に様々な情報が保存されています。

 裏に持っている情報とは何なのでしょうか。これはメールヘッダと呼ばれているもので、すべてのメールに残されているメールの送信に関する詳細情報です。

 メールヘッダにはどんなことが記載されているのか確認してみようと思います。
 (以下、XXXXX@feissport.comというアドレスは私のアドレスを指しています)

1.Outlookでメールを開く
2.ファイルタブを押下する
3.「情報」タブの「プロパティ」を押下する
4.「インターネットヘッダー」にメールヘッダが表示される

はい。
これでメールヘッダーが表示されましたのでメールヘッダを見てみましょう。

<code><span style="color:#ffffff" class="tadv-color"><span style="background-color:#000000" class="tadv-background-color">Return-Path: &lt;XXXXX@feissport.com&gt;
Received: from DESKTOPEGIOA85 (FL9-000-000-00-000.tky.mesh.ad.jp. &#91;000.000.00.000])
        by smtp.gmail.com with ESMTPSA id t26-00000a000a00000a00b000faa00ba000sm0000000pfg.000.0000.00.00.00.00.00
        for &lt;XXXXX@feissport.com&gt;
        (version=TLS1_2 cipher=ECDHE-ECDSA-AES128-GCM-SHA256 bits=128/128);
        Mon, 21 Mar 2022 21:40:50 -0700 (PDT)
From: =?iso-2022-jp?B?GyRCPj5IeBsoQiAbJEJEPjx5GyhC?= &lt;XXXXX@feissport.com&gt;
To: &lt;XXXXX@feissport.com&gt;
Subject: =?iso-2022-jp?B?GyRCPCtKLDA4JEYkSyVhITwlayRyQXckQyRGJF8kaxsoQg==?=
Date: Tue, 22 Mar 2022 13:40:47 +0900
Message-ID: &lt;000a00d00da0$00000ab0$0000e000$@feissport.com&gt;
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_001B_01D83DF2.711A0420"
X-Mailer: Microsoft Outlook 16.0
Thread-Index: Adg9pvTOzTQkkaDuRti38tnfm/zJpA==
Content-Language: ja

</span></span></code>

 意味の分からない文字列が並んでいますが、この文字列には「誰から」「誰に」送られてきたのか、それの詳細情報が載っています。
 例えば一行目にある「Return-Path」という項目は、メール送信ができなかった場合にエラー通知する宛先が載っています。
 同じく「Received」は、どのプロバイダ(サーバ)を経由してメールが送信されてきた。
 「From」は、表に見えているメールの元のアドレスなど様々な情報が記載されています。

なりすます

 では、なりすますとはどういうことでしょうか。
 これは上記で記載しているメールヘッダーを書き換えてメールを送ることで(具体的な方法は記載しませんが)比較的簡単に実現可能です。
 そして、逆にいうとメールヘッダを見ることによってなりすましであるか判断が可能になります。
 ※以下のメールは、メールヘッダを書き換えて再度自分自身に送ったメールです。

1.母上様からメールが届きました
<code>Return-Path: &lt;XXXXX@feissport.com&gt;
Received: from DESKTOP-EGIOA85 (FL9-000-000-00-000.tky.mesh.ad.jp. &#91;000.000.000.000])
        by smtp.gmail.com with ESMTPSA id j14-00000a000a00000e00b000f000000000sm00000000pfc.00.0000.00.00.00.00.00
        for &lt;XXXXX@feissport.com&gt;
        (version=TLS1_2 cipher=ECDHE-ECDSA-AES128-GCM-SHA256 bits=128/128);
        Mon, 21 Mar 2022 23:54:00 -0700 (PDT)
From: "=?utf-8?b?5q+N?=" &lt;mother@feissport.com&gt;
Date: Tue, 22 Mar 2022 15:53:55 +0900
Subject: =?utf-8?b?44GK5YWD5rCX44Gn44GZ44GL?=
Message-Id: &lt;0IGFU5RUDGU4.ALWZYJB76N623@desktop-egioa85&gt;
To: XXXXX@feissport.com
Reply-To: =?utf-8?b?54i2?= &lt;father@feissport.com&gt;
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit

</code>

 メールヘッダを見てみるとmother@feissport.comからメールが届いたはずなのに送信エラーは「XXXXX@feissport.com」に送信されるようになっています。
 さらに「Reply-To」は、「father@feissport.com」になっているのです。
 ※ Reply-To :このメールに返信するときに宛先に設定されるメールアドレス

 ※実際にはSenderというヘッダがあり、そこに送信者の正しいアドレスが表示されていたりするので、SenderとFromが異なると、表示されている送信者と実際に送信してきたアドレスが異なることがわかるのですが、GmailやYahooはその方法で送信できなかったのでSenderなどが設定できませんでした

最後に

 このような感じでメールヘッダを見ると割と変なメールはわかるようになるため、変なメールを見かけたらメールヘッダをのぞいてみてはいかがでしょうか。


本記事は、メールヘッダによってある程度変なメールがわかるという程度のものであり、メールが安全であるか、正しいメールであるかは自己責任(自己の判断)でしてください。
本記事の内容によって生じた損害等の一切の責任を負いかねますのでご了承ください