Maltegoで迷惑メールを可視化してみる2020.05.14版

Maltegoで迷惑メールを可視化してみる2020.05.14版

はじめに

　OSINTの可視化ツールのMaltegoを使って，迷惑メールを可視化してみる．

　迷惑メールの中にある，メールヘッダにあるドメインやIPアドレス，メール本文にある誘導先サイトのドメイン名などを登録し，情報を可視化する．

調査対象となるメール

　迷惑メールは今朝来たものを利用．鮮度が高く無いとね．（後述）

　LOUIS VUITTON Outlotと書いてあるけれど，迷惑メールで送付してくるくらいだから，本物ではないと思われ． 　ここでわかるのは，数字のみで取得されたドメイン名とメールアドレス．

　本文に，商品紹介があって，SHOP NOWボタンへカーソルをロールオーバすると，リンク先のURLがでてくる．

　このヘッダ情報で，メールサーバのIPアドレスやドメインなどがわかる．ただし，DkimやDomainkyeを設定してあるくらいなので，メールサーバはちゃんとしたもののような気もする．．．

Maltegoで可視化してみる

　ここまででわかったドメイン名やIPアドレスを使って，迷惑メールを可視化してみる．

　IPinfoやHaveIbeenPwnedを使ってみる． 　調べたい項目を，グラフエリアにドラッグ．

　今回入手している情報としては，黄色い枠のメールサーバのドメイン，ホスト名，メールアカウントと，緑色のドメインとFQDNはメール本文に記載されていたもの．

　これを可視化して見た．

　１ブロックづつ，内容を確認する．

　まずは，HaveIbeenPwnedを使って，流出したメールアドレスかどうかを確認．

　調査した結果，流出アカウントでは無い確率は高いが，乗っ取られてないとは言えない．

　次に，メールサーバとそのドメインに関して調査．

　IPアドレスからCNのhefei，中華人民共和国の合肥市（がっぴし）という所にあるサーバのようだけれど，REDACTED FOR PRIVACYと書いてあるのでwhoisで調査できるgTLDコンタクトの登録情報は非開示．

　一応，VeriSignで証明書を取っているようで，Jiangsu Science & Technology Development Co Ltdとあって，これを調べると「江蘇Lianguan科学及びテクノロジー開発Co.既存の企業に基づいて2000年に確立されて、株式会社は複数の子会社で構成されるグループ株式会社である」「中国飲料包装機械, 機械設備メーカー/サプライヤー」となっているが，ルイ・ヴィトンのアウトレットを扱う会社なのかどうかは不明．

　次に，メール本文に記載されていたFQDNについて調査．

　こっちのサーバは，シンガポールにあるようで，アリババクラウド上でどう出されている模様．そして該当のFQDNは404になっているので，既にロックアウトされていました．

　急いで調べたけれど，遅かったか．．．早朝の5時にメールが来たけれど，半日足らずでロックアウトされていたのは，アリババ自体が信頼性が高く仕事も速い結果ということか．