Hello there, ('ω')ノ
〜“誰が送ったのか”をメールヘッダーから読み解く〜
📩 フィッシングメールとは?
フィッシングメールとは、信頼できそうな送信元を装って個人情報やパスワードをだまし取るために送られる詐欺メールです。
OSINTでは、これらのメールの発信者の手がかりを追跡する技術が重要になります。
🧠 発信元調査の基本は「メールヘッダー」
通常のメール本文では見えない技術的な送信情報を含むのが「メールヘッダー」です。
ここには次のような情報が含まれています:
| 項目 | 内容 |
|---|---|
Received: |
通過したメールサーバーの情報(時系列で記録) |
Return-Path: |
返信時に使われる送信者アドレス |
Message-ID: |
メールの一意の識別子 |
From: |
表示上の送信元(偽装可能) |
SPF, DKIM, DMARC |
メールの正当性を検証するセキュリティ情報 |
🛠 実践:ヘッダーから情報を読む手順
✅ 1. メールヘッダーを表示する
Gmailの例:
- メールを開く → 右上の「︙」メニュー →「メッセージのソースを表示」
OutlookやYahoo!メールでも「詳細ヘッダー表示」から可能です。
✅ 2. Received:を下から上へ読む
最も下の Received: が、送信者が最初に使ったサーバーです。
そこに表示されているIPアドレスを確認しましょう。
例:
Received: from unknown (unknown [203.0.113.45])
✅ 3. IPアドレスを調査する
取得したIPアドレスを、以下のツールで調べます:
調べられる内容:
- 発信国・地域
- 使用しているISP(インターネットプロバイダ)
- 時には企業名やホスティング会社も
✅ 4. 認証情報の確認(SPF/DKIM/DMARC)
例:
Authentication-Results: spf=fail (google.com: domain of example.com does not designate 203.0.113.45 as permitted sender)
→ 送信元ドメイン(example.com)がこのIPを許可していない=なりすましの可能性が高い
⚠ フィッシングメール調査時の注意点
❌ 添付ファイルは開かない!
- マルウェアやスパイウェアが仕込まれている可能性大
- たとえ拡張子が
.pdfや.docxでも油断禁物
❌ リンクは絶対にクリックしない!
- 偽サイトに飛ばされ、ログイン情報や個人情報を入力させられる
- リンクの実体は、メールヘッダーやHTMLソースで確認する
⚠ VPNや仮想環境での解析推奨
- フィッシングサイトや画像のURLを開く際は、必ずVPN・サンドボックス環境を使う
- IP追跡やCookieトラッキングされるリスクあり
✅ まとめ:「誰が送ったか」は技術で追える
- メールヘッダーは発信者の痕跡が詰まった“指紋”
- IPアドレスと認証情報を突き合わせれば、なりすましかどうか判断可能
- フィッシング調査は慎重かつ匿名性を確保して行うのが鉄則
Best regards, (^^ゞ
