6月29日早朝、送信元(From:)をクロネコヤマトのメールアドレスに偽装した、添付ファイル付きのスパムメールが僕のODNの方のメールアドレスに届きました。僕はメールをソネットに転送するよう設定しているので、受信自体はソネットの方のアドレスで行いましたが。
- spam
以下にメールヘッダの一部も含めて転載します。なお、メールヘッダ内の僕のメールアドレスやODNのサーバは伏せさせて頂いてますが、本文は何も伏せていません(「品名」はメールに記載されているそのままです)。
このウィルスメールは送信元アドレス(From:)を偽装しているため、ヤマト運輸が公表している「ヤマト運輸の社名もしくは類似名称を名乗る迷惑メールについて」の2016年6月29日午前10時現在の記述、
しかし、メールヘッダをよく見ると、Return-Path:が本物のヤマト運輸のメールにあるものと全く異なる、Received:に「kuronekoyamato.co.jp」がひとつもない、Message-ID:が「kuronekoyamato.co.jp」を含まない、などの特徴があります。
何より、zipファイルが添付されているというのが本物のヤマト運輸のメールと大きく違っている異常な点なので、見分けるのは容易だと思います。ヤマト運輸からのお届けメールにはzipファイルは添付されませんから、添付ファイルがあるという時点でウィルスメールと確定できます。
(6月29日 午後5時35分追記)
ヤマト運輸からも「「お届け予定eメール」を装った不審メールにご注意ください」という、注意を喚起する発表がありました。
X-MSK: 2BIG
Return-Path: <determining892@kub.biglobe.ne.jp>
Received: from [61.205.123.217] (61.205.123.217)
by *****.*****.odn.ne.jp (*.*.***.**.**)
id 577206BE0020A238
for *****@*****.odn.ne.jp;
Wed, 29 Jun 2016 06:09:22 +0900
Received: from ymgbvsrbfeduu.bfbc.info (ymgbvsrbfeduu.bfbc.info [217.169.188.107])
by ymgbvsrbfeduu.bfbc.info
with ESMTP
id 7E5F9A0D67;
Wed, 29 Jun 2016 05:46:01 +0900
Received: from [193.29.63.188] (account fineoze1@eonet.ne.jp HELO ymgbvsrbfeduu.bfbc.info)
by (Postfix) with
ESMTPA id
6856FCDa for *****@*****.odn.ne.jp; Wed, 29 Jun 2016 05:46:01 +0900
Authentication-Results: so-net.ne.jp; spf=softfail smtp.mailfrom=determining892@kub.biglobe.ne.jp;
dkim=none; dkim-adsp=none header.from=mail@kuronekoyamato.co.jp;
dmarc=none header.from=mail@kuronekoyamato.co.jp
From: <mail@kuronekoyamato.co.jp>
To: <*****@*****.odn.ne.jp>
Subject: 宅急便お届けのお知らせ
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="=-TKE--tyB4D6bGrq7BOgwwKsDStTnLzQp9rlBWqOZBUTt8LI"
Message-ID: <d1cfc192a6dffc7c5.3e6b7a@ymgbvsrbfeduu.bfbc.info>
X-PHP-Originating-Script: 523:MailSend.php
Date: Wed, 29 Jun 2016 05:46:01 +0900
■お届け予定日時
6月30日 時間帯希望なし
※お届け予定日時につきましては、ゴルフ・スキー・空港宅急便(施設宛)の場合、プレー日(搭乗日)を表示しております。
■品名:****************
■商品名:宅急便
■ご依頼主:
■伝票番号:6459-6380-8936
ヤマト運輸株式会社
Content-Type: application/zip; name="YVFQIR QU3JLSY.zip"
Content-Transfer-Encoding: base64
Content-ID: <007301d1d1c9$84c0e200$560aa8c0@3K2M6IXM>
このウィルスメールは送信元アドレス(From:)を偽装しているため、ヤマト運輸が公表している「ヤマト運輸の社名もしくは類似名称を名乗る迷惑メールについて」の2016年6月29日午前10時現在の記述、
ヤマト運輸から発信されるメールのアドレスは「●●●@kuronekoyamato.co.jp」となっており、内容は原則としてお荷物のお届けに関するお知らせおよび新商品・新サービスのご案内などになります。を回避してしまっています。
しかし、メールヘッダをよく見ると、Return-Path:が本物のヤマト運輸のメールにあるものと全く異なる、Received:に「kuronekoyamato.co.jp」がひとつもない、Message-ID:が「kuronekoyamato.co.jp」を含まない、などの特徴があります。
何より、zipファイルが添付されているというのが本物のヤマト運輸のメールと大きく違っている異常な点なので、見分けるのは容易だと思います。ヤマト運輸からのお届けメールにはzipファイルは添付されませんから、添付ファイルがあるという時点でウィルスメールと確定できます。
(6月29日 午後5時35分追記)
ヤマト運輸からも「「お届け予定eメール」を装った不審メールにご注意ください」という、注意を喚起する発表がありました。