大したことないかも知れないけど、深刻なものかもしれない迷惑メールが来ました。早速晒してみます。
(spam対策のため、メールアドレスやURLは一部伏せます)
Received: from [41.254.1.15] ([41.254.1.15])
by asm4.tnc.ne.jp ([218.219.15.246])
with ESMTP id 2010070119:47:13:479565.14967.3924;
Thu, 01 Jul 2010 19:47:12 +0900 (JST)
Received: from 41.254.1.15 (port=8386 helo=[rantisse])
by mail.royalpark-bd.com with asmtp
id 0E2E6F-000473-19
for za○○○no@tokai.or.jp; Thu, 1 Jul 2010 03:47:10 -0800
Message-ID: <4D○○○85.0816084@royalpark-bd.com>
Date: Thu, 1 Jul 2010 03:47:10 -0800
From: wiki@wikimedia.org
MIME-Version: 1.0
To: za○○○no@tokai.or.jp
Subject: Wikipedia e-mail address confirmation
Content-Type: text/html; charset = "ISO-8859-1"
Content-Transfer-Encoding: 8bit
X-Spam: Not detected
X-Mras: OK
X-TERRACE-SPAMMARK: NO (SR:4.68)
(by Terrace)
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<HTML><HEAD><TITLE>
</HEAD>
<BODY><html>
<head>
<title>Wikipedia e-mail address confirmation
</title>
</head>Someone from the IP address 41.254.1.15 has registered the account "zamorano" with this e-mail address on the English Wikipedia.
To confirm that this user account really does belong to you and to activate e-mail features on Wikipedia, please open this URL in your browser:
<a href="http://chi○○○ils.com/wordpress.html">http://en.wikipedia.org/wiki/Special:ConfirmEmail/3916pg○○○v75321
</a>
If you did not recently register for Wikipedia (or if you registered with a different e-mail address),
click the following link to cancel the confirmation:
<a href="http://chi○○○ils.com/wordpress.html">http://en.wikipedia.org/wiki/Special:Invalidateemail/8241hs○○○i74757</a>
This confirmation e-mail will automatically expire at Thu, 1 Jul 2010 03:47:10 -0800
~Wikipedia, the free encyclopedia
<a href="http://chi○○○ils.com/wordpress.html">http://en.wikipedia.org</a>
</body>
</html></BODY></HTML>
- メール内URL調査結果
(aguse.jp:http://www.aguse.jp/?m=w&url=http%3A%2F%2Fchipsnchils.com%2Fwordpress.html&x=42&y=8)
・URL表示サーバは韓国、ブラックリスト入りしていません。ドメインは「chipsnchils.com」、IPは「110.45.140.48」です。
・gred(http://www.gred.jp/)によるURLチェックでは「コンテンツが取得できませんでした」でした。
- メールヘッダ調査結果
・メール送信元はリビアで偽装の形跡あり、ブラックリスト入りしています。送信サーバIPは「41.254.1.15」です。
今回の突っ込みどころ。
・Wikipedia(英語版)からに偽装、マルウェア(不正プログラム)付き。
Trojan.HTML.IFrame.cs
(aguse.jpより)
HTMLメールの仕組みを悪用しています。(上記引用は、HTMLをテキストで表示させています。またタグを無効化するため「<」を「<」に書き換えてます)
- 表示されるURLのリンク・・・http://en.wikipedia.org/wiki/Special:ConfirmEmail/(以下略)
- 実際に飛ばされるURLのリンク・・・http://chi○○○ils.com/wordpress.html
表示されるURLのリンクは、英語版Wikipediaのページ。当然「安全なページ」です。が、実際に飛ばされるURLのリンク先は、一見「404 Not Found」エラー表示ですが、マルウェア(不正プログラム)に感染させられる仕組みです。
英文スパムなので、日本人なら手を出す可能性は低いですが、よく分からないままクリックしてしまう可能性も...不審なメールのURLは、安易に表示させないように!