迷惑メール/スパム対策

迷惑メールや詐欺メールの判定にはメールのヘッダ情報をChatGPTに分析してもらう方法があります

この記事は約8分で読めます。

迷惑メール判定毎日届く迷惑メールや詐欺メールですが、本物なのかどうかの判定が難しいメールには悩みますね。そこで、迷惑メール判定のために最近有効だと思っているやり方をここでご紹介しておきます。
この対策メインはメールソフトの利用方法を工夫することですが、ChatGPTを活用する方法もかなり有効です。

迷惑メール・詐欺メールの判定方法

Gmailでの判定

Gmailを使っている場合は、迷惑メールの判定が強力なのでふだんはほとんど気にしなくてもいいくらいです。しかし、受信トレイにときどき迷惑メールが紛れ込むこともあります。そんなときは文面だけで判断せずに、メールのヘッダ情報を確認しましょう。

メールのヘッダ情報は、Gmailの受信画面から「メッセージのソースを表示」を開いて確認します。「メッセージのソースを表示」は、縦に3つの点である「︙」(3点リーダーといいます)をクリックするとウインドウが開き選択ができるようになります。

ソースを表示にすると「元のメッセージ」が表示されます。

この画面で、SPF、DKIM、DMARCが3つもとPASSになっていればベストです。

Gmailあてに送信するメールにはメール認証のSPFとDKIMが必須、さらにDMARCまでの設定を推奨します
神奈川県の高校受験に関して、県側からの送信メールがGmailだと届かないという問題が発生しています。高校入試の出願システム、Gmailにメール届かず……神奈川県、受験生に「@gmail.com以外のアドレス使って」とりあえずの回避策としてGmail以外を使ってほしいという県側が訴えていますが、本来この問題は県の情報システム側にあります。県側のメール送信システムが送信メール認証に必須と言われているS...

GmailでのSPF、DKIM、DMARCの確認方法は上記ページにて説明がありますので詳細はそちらをご覧ください。

秀丸メールではメールヘッダ情報表示に工夫

遠田が通常利用しているメールソフトは秀丸メールです。秀丸メールは、プレーンなテキストメール・ソフトウェアなのでhtml表示しません。そのためhtmlに組み込まれる恐れがあるJavaScriptなどは除外しますのでウイルス添付メールにはめっぽう強いです。

ですが、迷惑メール判定には困ることがあります。そこで、最近はメールのヘッダ情報の表示を工夫して、迷惑メールかどうかの判断をしやすくしています。

送信元の国名やメールソフトなどを表示

・発信元表示→送信元のIPアドレスから国名を表示
・X-mailer表示→利用しているメールソフトや送信システムを表示
・X-TuruKame-SenderDAuth→SPF、DKIM、MDARCの状態を表示

Subject: [SPAM] MasterCardカード:不正使用疑惑のセキュリティチェック
日時: 2024/04/08(月) 23:12:01
X-mailer: Foxmail 6, 13, 102, 15 [cn]
X-TuruKame-SenderDAuth: FAIL (spf=softfail; dkim=none; dmarc=fail)

たとえば、このメールは
・発信元表示→送信元の国名がフランスである
・X-mailer表示→利用しているメールソフトがfoxmailで「cn」になっているので中国の可能性がある
・X-TuruKame-SenderDAuth→FAIL (spf=softfail; dkim=none; dmarc=fail)となっており信頼性が低い
ということから、なりすましの迷惑メールであるという判断がつきやすいです。

本文の短縮URLには要注意

また本文のリンク先URL「https://clck.ru/39wAWo」があやしいです。

この「clck.ru」は、ロシアの国別コードトップレベルドメイン(ccTLD).ruを使用しています。
また、このURLは「URL短縮サービス(この場合はclck.ru)」を使っています。URL短縮サービスは長いURLを短縮するためによく使用されていますが、短縮されたURLが実際にどの国のサーバーにホストされているか、またはどの国のコンテンツにリダイレクトするかは、URLの中身を解析してみないとわかりません。

このようにロシアの国別コードトップレベルドメインを使った短縮URLは、ほぼ間違いなく迷惑メールです。

このように迷惑メールなのか本物のメールなのかの判定をしやすくすることができるのがカスタマイズしやすい秀丸メールのよいところです。

秀丸エディタ/秀丸メール
秀丸エディタはウインドウズで使うテキストエディタです。シェアウェアというカテゴリのソフトウェアで、しばらくは無料で利用できますが継続して利用する場合は有料となり一度だけ課金を要求されます。また、秀丸メールは、秀丸エディタがベースになったメールソフトで、スパムに強く軽快に稼働するので一定の層からは重宝がられているます。秀丸メールもシェアウェアですが、秀丸エディタに料金を支払い済みなら秀丸メールには追...

秀丸メールは、秀丸エディタをメールソフトとして利用できるようにした秀逸なメールソフトです。

メールのヘッダ情報解析

ChatGPTでメールのヘッダ解析をする

最近、メールのヘッダ解析ではChatGPTを利用しています。
「このメールのヘッダ解析をして、メールを発信している国や経由ルートを特定してください。」としてメールのヘッダ情報を貼り付けるとかなり正しく分析してくれます。

この回答は以下のようになりました。

どもども遠田
どもども遠田

このメールのヘッダ解析をして、メールを発信している国や経由ルートを特定してください。

AIの回答
AIの回答

このメールヘッダを解析すると、メールの発信国や経由したルートについての情報が得られます。具体的には以下のポイントに注目します。

  1. 発信者のドメインとIPアドレス:
    • 発信者アドレス: dzf@bit.gr.jp は、日本のドメイン(.jp)を使用していますが、これは疑わしい発信者が正当な組織であると偽装する一般的な手法です。
    • 最終的な送信元IP: [163.100.197.24] は、X-TuruKame-SenderCountryヘッダによるとフランス(FR)で登録されているとのことですが、これも偽装の可能性があります。特に、スパムメールやフィッシングメールの場合、発信国を偽ることが一般的です。
  2. 経由したサーバーとIPアドレス:
    • 初期受信サーバー: bit.gr.jp から sv14171.xserver.jp へと送信されていますが、この情報からは、特定の国を通過したことは明らかではありません。
    • さらに、Received ヘッダからは、メールが msmarkhnc (IP [163.100.197.24])から bit.gr.jp へと送られ、そこからさらに宛先に転送されていることがわかります。このIPアドレスは、上述のとおりフランスに位置付けられています。
  3. SPF(Sender Policy Framework)の結果:
    • SPF_SOFTFAIL: 発信者ドメインのSPFレコードと送信元IPアドレスが一致しないことを示しています。これは、メールが偽装されている可能性があることを示唆しています。
  4. X-TuruKame-SenderCountry:
    • このヘッダはフランス(FR)と中国(CN)のIPアドレスを示していますが、これは送信元のサーバーがこれらの国に位置している可能性があることを意味します。しかし、この情報は操作される可能性があるため、単独で結論を出すのは危険です。

結論として、このメールは日本のドメインを使用していますが、発信源としてフランスや中国のIPアドレスが関与している可能性が示唆されています。
ただし、スパムメールやフィッシングメールでは、発信源を偽装することが一般的なため、これらの情報を鵜呑みにすることはできません。実際のところ、メールの経由ルートや発信国を特定することは、これらの手段を用いても困難です。

ということで、このメールは迷惑メールであることがわかります。

IPアドレスで国を特定することが難しくなっています

ところで、IPアドレスで国名を判断するのはこれまで一般的でしたが、スパム元がVPN利用をしているケースが増えているようで特定が困難になっています。

どもども遠田
どもども遠田
IPアドレスで国名を判断することが危険な理由はなんですか?
例えばスパム元がVPN利用をしているというような可能性があるからでしょうか?
AIの回答
AIの回答

はい、その通りです。IPアドレスに基づいて国を判断することが危険な理由はいくつかありますが、主な理由は以下の通りです。

  1. VPNの利用: スパム送信者やサイバー攻撃者は、VPN(仮想プライベートネットワーク)を使用して実際のIPアドレスを隠すことがあります。VPNを使用すると、ユーザーは選択したVPNサーバーのIPアドレスを介してインターネットにアクセスするため、実際には別の国にいるにも関わらず、異なる国からアクセスしているように見えます。
  2. プロキシサーバー: VPNと同様に、プロキシサーバーを通じてインターネットトラフィックをルーティングすることで、ユーザーは自分の実際のIPアドレスを隠し、別の場所からアクセスしているように見せかけることができます。
  3. Torネットワーク: Tor(The Onion Router)ネットワークを使用すると、インターネットトラフィックが複数の中継点を経由するため、最終的な出口ノードのIPアドレスしか公開されません。これにより、ユーザーの実際の地理的位置情報が隠されます。
  4. IPアドレスの偽装(Spoofing): 特定のサイバー攻撃では、攻撃者がパケットの送信元IPアドレスを偽装することで、トラフィックの真の出発点を隠します。これにより、攻撃の追跡を困難にすることが可能です。
  5. クラウドサービス: 多くの組織や個人がクラウドベースのサービスを使用してオンライン活動を行う現代では、クラウドサーバーのIPアドレスが利用されることがよくあります。これらのサーバーは世界中どこにでも配置されるため、実際のユーザーの地理的位置とは無関係になります。

これらの理由から、IPアドレスだけをもって、メールの送信者やオンライン活動の参加者の実際の地理的位置を判断することは非常に困難です。
特にセキュリティの文脈では、より高度な分析手法や複数の指標を組み合わせて、真の発信源を特定する必要があります。

ハッカーというか迷惑メールを発信している側はITスキルが利用者よりも圧倒的に高いので、その知識の差が迷惑メールにひっかかってしまう原因になりかねません。

常に、自身のITスキルを高めていく努力をしていきましょう。

VPNとは

VPN(Virtual Private Network、バーチャルプライベートネットワーク)は、インターネット上で公開されているネットワークを介して、プライベートな通信回線を仮想的に構築する技術です。

VPNを利用することにより、ユーザーは安全にデータを送受信することができ、外部からのアクセスや盗聴を防ぐことが可能になります。

VPNを使用すると、ユーザーの実際のIPアドレスがVPNサーバーのIPアドレスに置き換わり、インターネット上でのユーザーの活動が匿名化される効果があります。企業ではリモートアクセスのセキュリティ確保のため、個人ではプライバシー保護や地理的な制限の回避のために使用されます。