はじめに
OSINTの可視化ツールのMaltegoを使って,迷惑メールを可視化してみる.
迷惑メールの中にある,メールヘッダにあるドメインやIPアドレス,メール本文にある誘導先サイトのドメイン名などを登録し,情報を可視化する.
調査対象となるメール
迷惑メールは今朝来たものを利用.鮮度が高く無いとね.(後述)
LOUIS VUITTON Outlotと書いてあるけれど,迷惑メールで送付してくるくらいだから,本物ではないと思われ. ここでわかるのは,数字のみで取得されたドメイン名とメールアドレス.
本文に,商品紹介があって,SHOP NOWボタンへカーソルをロールオーバすると,リンク先のURLがでてくる.
このヘッダ情報で,メールサーバのIPアドレスやドメインなどがわかる.ただし,DkimやDomainkyeを設定してあるくらいなので,メールサーバはちゃんとしたもののような気もする...
Maltegoで可視化してみる
ここまででわかったドメイン名やIPアドレスを使って,迷惑メールを可視化してみる.
IPinfoやHaveIbeenPwnedを使ってみる. 調べたい項目を,グラフエリアにドラッグ.
今回入手している情報としては,黄色い枠のメールサーバのドメイン,ホスト名,メールアカウントと,緑色のドメインとFQDNはメール本文に記載されていたもの.
これを可視化して見た.
1ブロックづつ,内容を確認する.
まずは,HaveIbeenPwnedを使って,流出したメールアドレスかどうかを確認.
調査した結果,流出アカウントでは無い確率は高いが,乗っ取られてないとは言えない.
次に,メールサーバとそのドメインに関して調査.
IPアドレスからCNのhefei,中華人民共和国の合肥市(がっぴし)という所にあるサーバのようだけれど,REDACTED FOR PRIVACYと書いてあるのでwhoisで調査できるgTLDコンタクトの登録情報は非開示.
一応,VeriSignで証明書を取っているようで,Jiangsu Science & Technology Development Co Ltdとあって,これを調べると「江蘇Lianguan科学及びテクノロジー開発Co.既存の企業に基づいて2000年に確立されて、株式会社は複数の子会社で構成されるグループ株式会社である」「中国飲料包装機械, 機械設備メーカー/サプライヤー」となっているが,ルイ・ヴィトンのアウトレットを扱う会社なのかどうかは不明.
次に,メール本文に記載されていたFQDNについて調査.
こっちのサーバは,シンガポールにあるようで,アリババクラウド上でどう出されている模様.そして該当のFQDNは404になっているので,既にロックアウトされていました.
急いで調べたけれど,遅かったか...早朝の5時にメールが来たけれど,半日足らずでロックアウトされていたのは,アリババ自体が信頼性が高く仕事も速い結果ということか.