ブログ - そのメール、開いて大丈夫? 無料で確認する方法 というセキュリティサービスを装ったフィッシングメール
そのメール、開いて大丈夫? 無料で確認する方法 というセキュリティサービスを装ったフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2026/5/4 19:49
色々なサイトで何度も漏洩したメアドに,この様なメールが来た.
漏洩メアドのリストを入手して,その被害者にメールを送りつけるという,あまり好ましい営業方法ではないので放置していたけど,その後,何度も営業メールがくる感じでもないので,分析してみたら,中国人ぽい雰囲気が出てきて仰天w サイトは閉じられていたから,新手のフィッシングだった模様.
漏洩メアドのリストを入手して,その被害者にメールを送りつけるという,あまり好ましい営業方法ではないので放置していたけど,その後,何度も営業メールがくる感じでもないので,分析してみたら,中国人ぽい雰囲気が出てきて仰天w サイトは閉じられていたから,新手のフィッシングだった模様.
引用:
このメール自体はカスペルスキーのメールゲートウェイでスパム判定されているけど,うちのSpamAssasinではスパムになるほどのスコアでは無かった.
RCVD_IN_DNSWL_BLOCKEDが3.5とスコアの中で高いのだけど,これは「DNSWL.org(DNSベースのホワイトリスト)への問い合わせがブロックされた」という意味.信頼できる送信元からのメールだと判断されてない.
ただし,dnswl.orgのクエリが多い場合,拒否するので正常なメールでもこのスコアがつく時がある.よって偶然の可能性もある.
Authentication-Resultsヘッダの部分で,dkim=neutralとなっていた.そして理由がinvalid (public key: not available)となっている.
これは,メールにDKIM署名があるが,検証に必要な「公開鍵」を送信ドメインのDNSから取得できなかったので認証結果が「保留(neutral)」になっている.
迷惑メールを判定するサービスを行う業者が,メールサーバの設定を正しく完了してない.
カスペルスキーのメールゲートウェイが付加した検証情報.
dkim=permerror: 受信サーバーがDNSから公開鍵を見つけられなかったか取得した公開鍵の形式が壊れている(構文エラー).
原因は,header.s=default とあるため受信サーバーは default._domainkey.security.phishguard-jp.com という場所にある公開鍵を探したが,そこが空か、正しくないデータが入っている.
spf=pass と dmarc=passとなっている.
次に,メールが送られてきたサーバのIPアドレスを調査.まずはIPアドレス.
AbuseIPDBで調査する.
スコアは悪くないけど・・・shengzitaiというのは気になる.
中国語らしいけど,「ロープもね」とは?
引用: 発音は「しぇんこぶと」らしい.
GoogleのAIモードにサラトイしてみた.
引用: 真っ当な答えだ.
誘導先というか,使い方を教えてくれるらしいサイトへの誘導リンク.
アクセスしてみたらもう無かった.
運営者情報はあかせません...みたいな事が書いてあったので面白いと思ったんだけど,魚拓が遅かったか.
使い方のサイトは,VirusTotalで評価されていて,フィッシングサイトになっていました.
whois情報.
メルまもり
最近、Amazon・楽天・三井住友カードなどを装った詐欺メールが急増しています。件名や送信元が本物そっくりで、見分けがつきにくくなっています。
「このメール、本物?」と迷ったとき、すぐに確認できる方法があります。
怪しいメール、
転送するだけで判定できます
使い方は3ステップ
STEP 1
✉
怪しいメールを転送
受信した不審なメールをそのまま転送するだけ
▼
STEP 2
🛡
AIが30秒で判定
送信元・リンク・文面をAIが総合的に分析
▼
STEP 3
✅
安全/危険の結果が届く
分かりやすい日本語で判定結果をお返しします
✓ 登録不要・無料5回
✓ リンクの安全性もチェック
✓ 分かりやすい日本語で回答
怪しいメールの転送先
check[@]phishguard-jp[.]com
↑ 長押し(またはトリプルクリック)でコピーできます
使い方を見る
※ メールの内容は判定後に自動削除されます
このメールはフィッシング詐欺の被害防止を目的として、メルまもり がお届けしています。
今後の配信が不要な場合は下記より停止できます。
配信停止はこちら | メールで配信停止
© メルまもり — AIフィッシング検知サービス
このメール自体はカスペルスキーのメールゲートウェイでスパム判定されているけど,うちのSpamAssasinではスパムになるほどのスコアでは無かった.
RCVD_IN_DNSWL_BLOCKEDが3.5とスコアの中で高いのだけど,これは「DNSWL.org(DNSベースのホワイトリスト)への問い合わせがブロックされた」という意味.信頼できる送信元からのメールだと判断されてない.
ただし,dnswl.orgのクエリが多い場合,拒否するので正常なメールでもこのスコアがつく時がある.よって偶然の可能性もある.
Authentication-Resultsヘッダの部分で,dkim=neutralとなっていた.そして理由がinvalid (public key: not available)となっている.
これは,メールにDKIM署名があるが,検証に必要な「公開鍵」を送信ドメインのDNSから取得できなかったので認証結果が「保留(neutral)」になっている.
迷惑メールを判定するサービスを行う業者が,メールサーバの設定を正しく完了してない.
カスペルスキーのメールゲートウェイが付加した検証情報.
dkim=permerror: 受信サーバーがDNSから公開鍵を見つけられなかったか取得した公開鍵の形式が壊れている(構文エラー).
原因は,header.s=default とあるため受信サーバーは default._domainkey.security.phishguard-jp.com という場所にある公開鍵を探したが,そこが空か、正しくないデータが入っている.
spf=pass と dmarc=passとなっている.
次に,メールが送られてきたサーバのIPアドレスを調査.まずはIPアドレス.
AbuseIPDBで調査する.
スコアは悪くないけど・・・shengzitaiというのは気になる.
中国語らしいけど,「ロープもね」とは?
引用:
AI による概要
「绳子太 (shéngzi tài)」は、中国語で「紐(ロープ)が~すぎる」という意味です。
後ろに形容詞が続くことで、ロープの具体的な状態を表します。
绳子 (shéngzi):紐、ロープ太 (tài):~すぎる、非常に
よく使われる組み合わせ(例文)
・绳子太长了 (shéngzi tài cháng le):紐が長すぎる
・绳子太短了 (shéngzi tài duǎn le):紐が短すぎる
・绳子太细了 (shéngzi tài xì le):紐が細すぎる
・绳子太粗了 (shéngzi tài cū le):紐が太すぎる
文脈によりますが、何かを縛る際や長さを調整する場面で、そのロープが不適当であることを表す際によく使われる表現です。
GoogleのAIモードにサラトイしてみた.
引用:
Q:
迷惑メールを分析するサービスを提供しているサイトが,その様なドメインを使っているのだけど,どういう意味だとおもう?
A:
「绳子太 (shéng zi tài)」というドメインが迷惑メール分析サイトで使われている理由は、中国語の「绳子太 (紐が~すぎる)」という言葉が持つ、「(獲物を) 縛り上げる」「(悪者を) 捕らえる」というニュアンスを込めた言葉遊び(ダジャレ)である可能性が高いです。
セキュリティ業界では、悪意のある送信者を特定し、その活動を封じ込めることを「縛る」「捕まえる」と表現することがあります。
考えられる理由と背景
「スパムを縛り上げる」という比喩
中国語で「绳子太长 (紐が長すぎる)」という表現は、転じて「つけあがりすぎている」「やりたい放題やっている」という意味で使われることがあります。これに対し、分析サービス側が「(太い/強い) 紐で縛って捕まえる」という意思を示している可能性があります。
特定の組織・プロジェクトのコードネーム
中国系のセキュリティ研究チームや、ボットネット追跡プロジェクトが、あえて一般的でないフレーズをドメインに採用することは珍しくありません。
単なる語呂合わせ
ドメイン名の響きが、特定の専門用語や技術名に似ているために選ばれたケースも考えられます。
もし、そのサイトが Spamhaus や DMARC分析サービス のような公式なものではなく、見慣れない個人サイトであれば、分析ツールを装ったハニーポット(攻撃者を誘い出す罠)や、逆に怪しいサイトである可能性も否定できません。そのサイトで 解析のためにメールをアップロード したり、リンクをクリック したりする際は、十分にご注意ください。
誘導先というか,使い方を教えてくれるらしいサイトへの誘導リンク.
アクセスしてみたらもう無かった.
運営者情報はあかせません...みたいな事が書いてあったので面白いと思ったんだけど,魚拓が遅かったか.
使い方のサイトは,VirusTotalで評価されていて,フィッシングサイトになっていました.
whois情報.
$ whois phishguard-jp.com🆑
Domain Name: PHISHGUARD-JP.COM
Registry Domain ID: 3073254185_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.discount-domain.com
Registrar URL: https://internet.gmo/
Updated Date: 2026-03-03T11:03:54Z
Creation Date: 2026-03-03T11:00:48Z
Registry Expiry Date: 2027-03-03T11:00:48Z
Registrar: GMO Internet Group, Inc. d/b/a Onamae.com
Registrar IANA ID: 49
Registrar Abuse Contact Email: abuse@internet.gmo
Registrar Abuse Contact Phone: +81.337709199
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: LORNA.NS.CLOUDFLARE.COM
Name Server: LUKE.NS.CLOUDFLARE.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2026-05-04T10:44:03Z <<<
