ヤマト運輸を名乗る不審メール受信

受信したメールボックスの中に、以下の心当たりのない .zip 添付ファイル付きメッセージが含まれていました。

ご依頼ありがとうございます。
以下の内容で受け付けました。

■お受け取りご希望日時 : 09/16日 (金) 12時から14時まで
■伝票番号 : 1236 5475 ****

<お問合せ先>
ヤマト運輸株式会社
お客様サービスセンター

ヤマトから荷物が到着する予定は無いし、伝えるべき伝票番号の一部非表示にしているし、受取人に送るメールとしては日本語が明らかに怪しい。荷主に送るべき文面と荷物受取人に送るべき文面が混在しています。

メールヘッダーを開いて確認してみると、以下の通り。

Return-Path: interested5@yahoo.co.jp
Received: by conbox-081 id 57d88f0c0d8a56; Wed, 14 Sep 2016 08:43:08 +0900
Received: from concspmx-02 (concspmx-02.nifty.com [172.26.8.129]) by conbox-081.nifty.com (Postfix) with ESMTP id 4EE2E44006F for <my_email_address@nifty.com>; Wed, 14 Sep 2016 08:43:08 +0900 (JST)
Received: from [114.158.41.14] ([114.158.41.14]) by niftygreeting with SMTP id jxLxbl9fzHl9KjxM3bdXv6; Wed, 14 Sep 2016 08:43:08 +0900
Authentication-Results: nifty.com;  spf=softfail  smtp.mailfrom=interested5@yahoo.co.jp;  sender-id=none  header.From=misako1_kobayashi@aa2.so-net.jp;  dkim=none;  dkim-adsp=none
X-Nifty-SrcIP: [114.158.41.14]
Date: Wed, 14 Sep 2016 08:43:05 +0900
From: <misako1_kobayashi@aa2.so-net.jp>
To: <my_email_address@nifty.com>
Message-ID: <791346.571214@wenews.voeezbogb.nl>
Subject: Rlc6IBskQkJwNV5KWDx1PGg7WERqJDQwTU1qPHVJVTQwTjskTiQqQ04kaSQ7GyhC
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="=-HFN--DbLgbhTYG6wggn4bAr0C0kfo8nyApcmSgJ38RkhcV7"
X-PHP-Originating-Script: 523:MailSend.php
Status: U
X-UIDL: 1473810188.X249E5.conbox-081
X-Attachment-FileName: 09.16_12-14 Id580334105918'.zip
  1. Return-Path: が @yahoo.co.jp 宛
  2. クロネコヤマトのメール書式なのに、From: は so-net を語る個人メールアドレス
  3. ヘッダーのどこにも kuronekoyamato のドメイン名がない!

ヘッダー情報だけでゴミ箱直行には十分ですが、記録されているIPアドレス[114.158.41.14]を、「いつもの中国だろう」と確認してみると、

14.41.158.114.in-addr.arpa name = p2014-ipngn611souka.saitama.ocn.ne.jp.

なんと、OCNで、日本。

“X-PHP-Originating-Script: 523:MailSend.php” とあるので、踏み台にされたのかもしれませんね。
そういえば、先日ヤマト運輸から「クロネコヤマトを名乗る不審メール」に関しての案内メールを見かけた記憶があります。これだったのね。

こういうメール文面を目にすること自体も面倒なので、@niftyの迷惑メールフィルターを修正して対策しました。

 

コメントを残す