目指せホワイトハッカー

目指せホワイトハッカー

ホワイトハッカーを目指し勉強中であり、自分の頭の整理のために纏めるのが主目的。ホワイトハッカー以外にも気が向いたら徒然なるままに。

email@engage.windows.com からのメールは詐欺?

こんにちはホワイトハッカー目指して勉強中のセキュヒロです。

早くホワイトッカーになたい~。

email@engage.windows.com からのメールは詐欺?

先日、以下のメールを受信しました。

f:id:secuhiro:20200505134439p:plain

実に怪しい。。。 典型的な詐欺の手口にしか見えない。。。

結論

安心してください。

本物のマイクロソフトからのメールです!!

メールヘッダー確認による詐欺の見分け方(今後同様のメールを受取った際の詐欺の見分け方)

*今回紹介する方法とは別手段の「メール内リンクから見分ける方法」はこちら

security-hirohiro.hatenablog.com

 

① 画面を右クリック して、 「メッセージのソースを表示」を選択(Hotmailの場合)してヘッダー情報を表示。

*メーラーによって、ヘッダ情報表示方法が異なります。

Gmailhttp://blog.heteml.jp/?p=180

Outlookhttp://blog.heteml.jp/?p=118

MacMail:http://blog.heteml.jp/?p=208

f:id:secuhiro:20200505141700p:plain

 

② “From:”と“Return-Path:”を確認

f:id:secuhiro:20200505142124p:plain

メールヘッダの中にある“From:”の内容をメールソフトは差出人として表示します。

もし、その差出人メールアドレスに違和感を感じた時は、メールヘッダの中にある“Return-Path:”を確認してみてください。

 

“Return-Path:”で表示されているメールアドレスは、基本的には実際の配送時に使用された送信者アドレスが書き込まれています。

今回のは、どちらも同じドメイン「engage.windows.com」になっており信頼できると判断できそうです。

 

ただし、”Return-Path:”も故意に書き換えることも可能なので、念の為、”Received:”を確認することをおすすめします。

 

 

 

 ③”Received:”の確認

f:id:secuhiro:20200505141753p:plain

”Received:”は複数ありますが、そのメールを扱ったメールサーバが独自に書き込む情報です。上側にある情報のほうが受け取り側に近く、下側の情報が送信側に近くなります。

 

つまり、一番下にある”Received:”を見ると送信元の情報を確認できます。

今回の例で言うと、10.152.13.238というIPアドレスからメールが送信されたことを示していますが、これはLANで使用されているプライベートIPアドレスなので、その次のIPアドレスを確認します。

 

以上より送信元IPアドレスは、13.111.21.229となります。

 

ドメイン/IPアドレス サーチ 【whois情報検索】で確認

  https://www.cman.jp/network/support/ip.html へアクセス

  「13.111.21.229」を入力

  管理情報紹介実行をクリック

f:id:secuhiro:20200505153750p:plain

 

⑤結果表示

 13.111.21.229 = mta6.engage.windows.com

    ⇒“Return-Path:”の偽装はなさそう!!

f:id:secuhiro:20200505154146p:plain