UJP - 技術情報2 編集 : Maltego/4.2.9/01/20200514meiwakumail の編集

Maltego/4.2.9/01/20200514meiwakumail の編集

詳細な入力項目を表示

ページタイトル( 空白で自動設定 ):
ページ頭文字読み: ページ並び順( 0-9 小数可標準:1 ):
ページ別名(複数は[改行]で区切る):

ページ内容:

*Maltegoで迷惑メールを可視化してみる2020.05.14版 [#r77bf8b3]

**はじめに [#o5b57984]

OSINTの可視化ツールのMaltegoを使って，迷惑メールを可視化してみる．

迷惑メールの中にある，メールヘッダにあるドメインやIPアドレス，メール本文にある誘導先サイトのドメイン名などを登録し，情報を可視化する．

**調査対象となるメール [#a6083db9]

迷惑メールは今朝来たものを利用．鮮度が高く無いとね．（後述）

#ref(site://modules/xelfinder/index.php?page=view&file=7047&MaltegoMaiwakuMail001.png,center)
　LOUIS VUITTON Outlotと書いてあるけれど，迷惑メールで送付してくるくらいだから，本物ではないと思われ．
　ここでわかるのは，数字のみで取得されたドメイン名とメールアドレス．
#ref(site://modules/xelfinder/index.php?page=view&file=7048&MaltegoMaiwakuMail002.png,center)
　本文に，商品紹介があって，SHOP NOWボタンへカーソルをロールオーバすると，リンク先のURLがでてくる．
#ref(site://modules/xelfinder/index.php?page=view&file=7057&MaltegoMaiwakuMail003.png,center,mw:600,mh:600)
　このヘッダ情報で，メールサーバのIPアドレスやドメインなどがわかる．ただし，DkimやDomainkyeを設定してあるくらいなので，メールサーバはちゃんとしたもののような気もする．．．

**Maltegoで可視化してみる [#u33e756c]

ここまででわかったドメイン名やIPアドレスを使って，迷惑メールを可視化してみる．
#ref(site://modules/xelfinder/index.php?page=view&file=7050&MaltegoMaiwakuMail004.png,center)　
　IPinfoやHaveIbeenPwnedを使ってみる．
　調べたい項目を，グラフエリアにドラッグ．
#ref(site://modules/xelfinder/index.php?page=view&file=7051&MaltegoMaiwakuMail005.png,center)
　今回入手している情報としては，黄色い枠のメールサーバのドメイン，ホスト名，メールアカウントと，緑色のドメインとFQDNはメール本文に記載されていたもの．

これを可視化して見た．
#ref(site://modules/xelfinder/index.php?page=view&file=7052&MaltegoMaiwakuMail006.png,center,mw:600,mh:600)
　１ブロックづつ，内容を確認する．

まずは，HaveIbeenPwnedを使って，流出したメールアドレスかどうかを確認．

#ref(site://modules/xelfinder/index.php?page=view&file=7053&MaltegoMaiwakuMail007.png,center,mw:600,mh:600)
　調査した結果，流出アカウントでは無い確率は高いが，''&font(u){乗っ取られてないとは言えない};''．

次に，メールサーバとそのドメインに関して調査．
#ref(site://modules/xelfinder/index.php?page=view&file=7054&MaltegoMaiwakuMail008.png,center,mw:600,mh:600)
　IPアドレスからCNのhefei，中華人民共和国の合肥市（がっぴし）という所にあるサーバのようだけれど，REDACTED FOR PRIVACYと書いてあるのでwhoisで調査できるgTLDコンタクトの登録情報は非開示．

一応，VeriSignで証明書を取っているようで，Jiangsu Science & Technology Development Co Ltdとあって，これを調べると「江蘇Lianguan科学及びテクノロジー開発Co.既存の企業に基づいて2000年に確立されて、株式会社は複数の子会社で構成されるグループ株式会社である」「中国飲料包装機械, 機械設備メーカー/サプライヤー」となっているが，ルイ・ヴィトンのアウトレットを扱う会社なのかどうかは不明．

次に，メール本文に記載されていたFQDNについて調査．
#ref(site://modules/xelfinder/index.php?page=view&file=7055&MaltegoMaiwakuMail009.png,center,mw:600,mh:600)
　こっちのサーバは，シンガポールにあるようで，アリババクラウド上でどう出されている模様．そして該当のFQDNは404になっているので，既にロックアウトされていました．

急いで調べたけれど，遅かったか．．．早朝の5時にメールが来たけれど，半日足らずでロックアウトされていたのは，アリババ自体が信頼性が高く仕事も速い結果ということか．

編集の要約:

Q & A 認証: ページ更新時は次の質問にお答えください。(プレビュー時は必要ありません)
Q: 「京都」の読みがな？(ひらがなで)
A:

お名前: タイムスタンプを変更しない