1: 2020-05-14 (木) 15:23:14 nobuaki   |
現: 2020-05-14 (木) 23:33:11 nobuaki |
| - | *Maltegoで迷惑メールを可視化してみる [#r77bf8b3] | + | *Maltegoで迷惑メールを可視化してみる2020.05.14版 [#r77bf8b3] |
| | | | |
| | **はじめに [#o5b57984] | | **はじめに [#o5b57984] |
| | OSINTの可視化ツールのMaltegoを使って,迷惑メールを可視化してみる. | | OSINTの可視化ツールのMaltegoを使って,迷惑メールを可視化してみる. |
| | | | |
| - | 迷惑メールの中にある,メールヘッダにあるドメインやIPアドレス,メール本文にある誘導先サイトのドメイン名などを登録し,情報を抽出してみる. | + | 迷惑メールの中にある,メールヘッダにあるドメインやIPアドレス,メール本文にある誘導先サイトのドメイン名などを登録し,情報を可視化する. |
| | | | |
| | **調査対象となるメール [#a6083db9] | | **調査対象となるメール [#a6083db9] |
| | | | |
| - | 迷惑メールは今朝きたものを利用. | + | 迷惑メールは今朝来たものを利用.鮮度が高く無いとね.(後述) |
| | + | |
| | + | #ref(site://modules/xelfinder/index.php?page=view&file=7047&MaltegoMaiwakuMail001.png,center) |
| | + | LOUIS VUITTON Outlotと書いてあるけれど,迷惑メールで送付してくるくらいだから,本物ではないと思われ. |
| | + | ここでわかるのは,数字のみで取得されたドメイン名とメールアドレス. |
| | + | #ref(site://modules/xelfinder/index.php?page=view&file=7048&MaltegoMaiwakuMail002.png,center) |
| | + | 本文に,商品紹介があって,SHOP NOWボタンへカーソルをロールオーバすると,リンク先のURLがでてくる. |
| | + | #ref(site://modules/xelfinder/index.php?page=view&file=7057&MaltegoMaiwakuMail003.png,center,mw:600,mh:600) |
| | + | このヘッダ情報で,メールサーバのIPアドレスやドメインなどがわかる.ただし,DkimやDomainkyeを設定してあるくらいなので,メールサーバはちゃんとしたもののような気もする... |
| | + | |
| | + | |
| | + | **Maltegoで可視化してみる [#u33e756c] |
| | + | |
| | + | ここまででわかったドメイン名やIPアドレスを使って,迷惑メールを可視化してみる. |
| | + | #ref(site://modules/xelfinder/index.php?page=view&file=7050&MaltegoMaiwakuMail004.png,center) |
| | + | IPinfoやHaveIbeenPwnedを使ってみる. |
| | + | 調べたい項目を,グラフエリアにドラッグ. |
| | + | #ref(site://modules/xelfinder/index.php?page=view&file=7051&MaltegoMaiwakuMail005.png,center) |
| | + | 今回入手している情報としては,黄色い枠のメールサーバのドメイン,ホスト名,メールアカウントと,緑色のドメインとFQDNはメール本文に記載されていたもの. |
| | + | |
| | + | これを可視化して見た. |
| | + | #ref(site://modules/xelfinder/index.php?page=view&file=7052&MaltegoMaiwakuMail006.png,center,mw:600,mh:600) |
| | + | 1ブロックづつ,内容を確認する. |
| | + | |
| | + | まずは,HaveIbeenPwnedを使って,流出したメールアドレスかどうかを確認. |
| | + | |
| | + | #ref(site://modules/xelfinder/index.php?page=view&file=7053&MaltegoMaiwakuMail007.png,center,mw:600,mh:600) |
| | + | 調査した結果,流出アカウントでは無い確率は高いが,''&font(u){乗っ取られてないとは言えない};''. |
| | + | |
| | + | 次に,メールサーバとそのドメインに関して調査. |
| | + | #ref(site://modules/xelfinder/index.php?page=view&file=7054&MaltegoMaiwakuMail008.png,center,mw:600,mh:600) |
| | + | IPアドレスからCNのhefei,中華人民共和国の合肥市(がっぴし)という所にあるサーバのようだけれど,REDACTED FOR PRIVACYと書いてあるのでwhoisで調査できるgTLDコンタクトの登録情報は非開示. |
| | + | |
| | + | 一応,VeriSignで証明書を取っているようで,Jiangsu Science & Technology Development Co Ltdとあって,これを調べると「江蘇Lianguan科学及びテクノロジー開発Co.既存の企業に基づいて2000年に確立されて、株式会社は複数の子会社で構成されるグループ株式会社である」「中国飲料包装機械, 機械設備メーカー/サプライヤー」となっているが,ルイ・ヴィトンのアウトレットを扱う会社なのかどうかは不明. |
| | + | |
| | + | 次に,メール本文に記載されていたFQDNについて調査. |
| | + | #ref(site://modules/xelfinder/index.php?page=view&file=7055&MaltegoMaiwakuMail009.png,center,mw:600,mh:600) |
| | + | こっちのサーバは,シンガポールにあるようで,アリババクラウド上でどう出されている模様.そして該当のFQDNは404になっているので,既にロックアウトされていました. |
| | + | |
| | + | 急いで調べたけれど,遅かったか...早朝の5時にメールが来たけれど,半日足らずでロックアウトされていたのは,アリババ自体が信頼性が高く仕事も速い結果ということか. |
下位
ページへ戻る
