今回は実際に メールヘッダーで送信元を見分ける手順 を、今回の事例(SPF PASS, DKIM PASS, DMARC FAIL)を踏まえて解説します。
以下はFrom(送信者):JAネットバンク d-family@daiwahouse.jpから届いたメールの事例です
メールヘッダー詳細例:
X-Apparently-To: ggggggg@xxxxx.co.jp; Sat, 20 Sep 2025 03:26:32 +0900
X-Z-SRV: s_ip=34.140.191.73;d_t=1758306392;url=jpja-theviews04.com,https://jpja-theviews04.com/ja/verification?origin=04;Retro=Y;
Return-Path: <info@guichizhaopin.com>
X-Z-PassedDKIMSig: guichizhaopin.com
X-YMailISG: JEhyWigWLDv3iAL8qkKIOgz2j8D_rM_SOeDzFqAJngUWqBKg
pFlm1c5u7MOu.pDAq8TtkXhuntPMJE.nsPlsdQECPdnYekmcaoLf_sHZ9McF
7fj4GzO2Yaoftq_P03IXkB5Wah5NgczZ6u5S2J_Fl8Dk.m4l5rbjUtUqCCUJ
FAHrubN13_eIoC4_Pn44KON9gVWNDfnZGAqrKsWgAsLUklaOFkO26EfMA7xJ
w.9djU3t0Qj8vR3edHaEVqZqor_dTsrEAJu70ghUJZ015MC8yASZFVASfGuP
SV2Tg.l_Cmq4mRQ0h8wxRtPlFQyXIYYuC.z0GHVo0OmWxoG4apMu0.aIR5Df
ac3NWrlCpUq2jKdwIv1Hs97xHcmZRqvfnFtq2m7q5rifhoOpO.fdIGiEs2cP
Oya1uwwQlGrzAVw0IZdocKwTCySeLm38Q4st1EdufFT7pTvjCKGgF0o371j0
L2QQaflrUu_O2orZqWaF4dfM2i3s6_Q8Ood6ktaHNDTr4NjZIunr3NfaAkER
lpsNK6aM5EYYoF8i6VFxIJVoxb5nZd8opspuPkLNxJ2meStT_lEYXJdzCQK2
KmSdQJyJ8I4RkwnaMfykmsqvu_chYD.h1wvei0dxtS3YIct7FbERa66wWroO
dZT1mzFiqpvY3c8u4XSeWAA5kQ9CqarWT66v6BF4h5fK.5wv7Ah_XlYcPsPl
uQUGUfCNODIHC842iDaydbXj6d6zP_H8OespPv_XwMWPKxSogC78FWwUVI7_
8RVGOmMIWcIJxkM5hPySNqWaGmsw_jmI.H4jgagfqIntXOQ_6f5OZcJjau_c
5MVymeojqVwGvi7rtgiXLw3.jf0msm9BcOMg6.w5bwISEUkZQBOMNRTLr0vz
J_AyTV42epGm7TkAbM8fBOnwip7wxR9HNl7I4dR5YR3sAhmITYUI43Vjxib5
ta_1WCZgJICLGTBHUz3djFlm_RyNkVqetS86Ud_u6ALJMv25EMMKt8Fsy8zL
XE6_egb.X1fvPZSIwhvMT2HwewU4CP36H_mwOwBwBvCm0r32TNPzGaQZxVly
HQLw9C7a..loirIhP.VKU7VcVRLhEc76DK1ch2avz02AGHAEZJKdCxcmnw22
3HgJQzTfadtodrvOkuRdeHIvx2PC842.TXLTD_o4sGqEGtCjCLYY46V90GAh
nQQ.O13QXLDf3_GhcHDV4XpZbb.Vm2xrmX7O6eIWMMcrAarogLkGpuIHF1WK
nqhg3gjArja5Mh9wtngBMwH7K3VepW85YWKjfENKCiqz9fZFCB18KDaDbzR6
HEbwCA0B5IUxknKZ6VLJ_DpQE7GK8NzaZ9_eeDauYw1Yp4XcFFf.bZOQRmL2
iqJTZECH2NNhw9deToA1MpFGWsMjIQ6GOTC5bCM4B3bk6ihledDEw7df7URJ
HXZ5M8LXxsjXZlk0FOUIEm2c6YwGkKqSOozMiYTaszzlNTZemkLGaugSLMkn
.ITREM8VibN57.dJ7AMGl3_JLm.Xdd40dVwNP5pvBJ.k8YP8IctWh7YV4pyY
k2VUpV1DtYRZQ3A0ejimy3G88KqCerkn1_Dxd76GH0iTNGrj_8YrAZTDclqq
iM9KmpMNUz8qjd3dC19ZEEFHMMA4jSZgkcp09zNaoI_7CLXozJyCwDy7iy_p
g900ff7sxKt2l3OfI6VptEf5NYSJY.9u5S3vQEbQDfbhK7kHd5ClpcdBHShP
li7rT1b4xDzTcnJ9nXXouv.YxlKk1TlY2.6YX1wbWtmci_pMIRLMqrzqaaJ4
KuTzfiCw3Oc0b_PPVbOWQUYzFV_qaJlqog05luW58gzXXoFFn0wpMZ54zL6i
gEuqYN6jKnl9oQUDyd5HlQ--
X-Originating-IP: [34.140.191.73]
X-Z-SenderAuth: yahooip=false; suspicious=false; domainkeys-result=neutral(nosig); dkim-result=pass(ok); spf-result=pass; reversed-hostname=73.191.140.34.bc.googleusercontent.com; dkauth-stat=ok;
Received-SPF: pass (mail1.guichizhaopin.com: domain of info@guichizhaopin.com designates 34.140.191.73 as permitted sender) receiver=mail1.guichizhaopin.com; client-ip=34.140.191.73; envelope-from=info@guichizhaopin.com;
Authentication-Results: mta0093.mail.otm.ynwp.xxxxx.co.jp from=guichizhaopin.com; domainkeys=neutral (no sig); dkim=pass (ok); header.i=@guichizhaopin.com; dmarc=fail (p=NONE,sp=NONE,pct=100,domain=daiwahouse.jp); header.from=daiwahouse.jp
Received: from 202.93.78.161 (EHLO mail1.guichizhaopin.com) (34.140.191.73)
by mta0093.mail.otm.ynwp.xxxxx.co.jp with SMTP; Sat, 20 Sep 2025 03:26:32 +0900
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=default; d=guichizhaopin.com;
h=Message-ID:Sender:From:To:Subject:Date:MIME-Version:Content-Type:
Content-Transfer-Encoding; i=info@guichizhaopin.com;
bh=SXBq2PUUxrRl4rmn2jhqULrjM7Y=;
b=PHQVKJpyDgZ30Ny6PrkTMK6Pg0EGlkf/H1rgpdnhvKyNaFctsYEEy/tOhgJy3lxr1qHoVFOTflhc
3jxxe9mYHMKj8QqnExubOD8ZxZl0qpfCHl3jhymda5SBz4xBggZALp/1EbaTCxCuz3Rv3U6bkKqE
o4Vn0kDx40/MK7in1a/zacVqjT2ztmWHk9q8aioF7MRQBKrmm16t4s6udaasy4MKmW2547mjXVn6
MUwEaoPULecr7v/Gd/c2wdt3HeuWiOConY7YuC9ReIiS+GuxOEGSZCVbmzo7FzaMN1HAHrHHHvjJ
g0pNdpmRkLtsHT5J/2aPKwsMyuEG0LrhKAJtuA==
Message-ID: <002c01dc29d5$7faa208a$00104087@daiwahouse.jp>
Sender: <info@guichizhaopin.com>
From: =?utf-8?Q?JA=E3=83=8D=E3=83=83=E3=83=88=E3=83=90=E3=83=B3=E3=82=AF?= <d-family@daiwahouse.jp>
To: =?utf-8?Q?ggggggg?= <ggggggg@xxxxx.co.jp>
Subject: =?utf-8?Q?=E3=80=90=E9=87=8D=E8=A6=81=E3=80=91=E3=81=94?=
=?utf-8?Q?=E7=99=BB=E9=8C=B2=E6=83=85=E5=A0=B1=E3=81=AE=E7=A2=BA?=
=?utf-8?Q?=E8=AA=8D=E3=81=AE=E3=81=8A=E9=A1=98=E3=81=84=EF=BC=88JA?=
=?utf-8?Q?=E3=83=8D=E3=83=83=E3=83=88=E3=83=90=E3=83=B3=E3=82=AF?=
=?utf-8?Q?=EF=BC=89?=
Date: Sat, 20 Sep 2025 02:26:27 +0800
MIME-Version: 1.0
Content-Type: text/html;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable
X-MSMail-Priority: High
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Content-Length: 6311
🕵️ メールヘッダー詳細分析
目次
1. Return-Path
Return-Path: <info@guichizhaopin.com>
- 実際に配送で使われた差出人。
- →
guichizhaopin.comドメイン。
👉 表示上の From とは異なり、実際の送信元は guichizhaopin.com。
2. From ヘッダー
From: JAネットバンク <d-family@daiwahouse.jp>
- 受信者に見える差出人。
- 「daiwahouse.jp」(大和ハウスの正規ドメイン)を装っている。
👉 なりすまし。
3. Sender ヘッダー
Sender: <info@guichizhaopin.com>
- 実際の送信者を示す補助ヘッダー。
- → From の「daiwahouse.jp」と一致していない。
👉 偽装を補足する証拠。
4. Received ヘッダー
Received: from mail1.guichizhaopin.com (34.140.191.73)
- Google Cloud IP帯(
34.140.191.73)から送信されている。 - 正規の「daiwahouse.jp」サーバからではない。
ヘッダーにこう書かれていました:
X-Z-SenderAuth: ... reversed-hostname=73.191.140.34.bc.googleusercontent.com
- これは「34.140.191.73」を逆引きした結果です。
*.bc.googleusercontent.comというホスト名は Google Cloud(GCP)でホストされているVMの典型的な逆引き名 です。
👉 つまり、このサーバは Google Cloud 上で動作していることがわかります。
👉 送信元は中国系のドメイン+Google Cloudサーバ。今回のメールは、Google Cloud上の仮想サーバ(Compute Engine VM)から送られたことがわかります。
つまり、攻撃者は Google Cloud を借りて、その環境からフィッシングメールを送信している、という仕組みです。
5. Authentication-Results
spf=pass (guichizhaopin.com)
dkim=pass (guichizhaopin.com)
dmarc=fail (domain=daiwahouse.jp)
- SPF →
guichizhaopin.comとしては正規 - DKIM →
guichizhaopin.com署名は正しい - DMARC → From の
daiwahouse.jpと一致しないため FAIL
👉 正規の dai wahouse.jp から来ていない証拠。
6. 不審リンク
X-Z-SRV: ... url=jpja-theviews04.com,https://jpja-theviews04.com/ja/verification?origin=04
- 本文内の誘導リンクは
jpja-theviews04.com。 - 金融機関や大和ハウスの正規ドメインではない。
👉 フィッシングサイトへの誘導の可能性大。
⚠️ 総合判定
- From:daiwahouse.jp(偽装)
- Return-Path / Sender / DKIM / SPF:guichizhaopin.com(実送信元)
- リンク:jpja-theviews04.com(詐欺サイトの疑い)
- DMARC:FAIL
✅ 結論:
このメールは 大和ハウスやJAネットバンクを装ったフィッシングメール です。
リンク先は詐欺サイトの可能性が高いため、絶対にアクセスしないこと。
📑 メールヘッダー分析のステップ
① From と Return-Path の確認
- From: → 表示される差出人アドレス(ユーザーが見る部分)
- Return-Path: → 実際に配送で使われた envelope from(SMTP MAIL FROM)
👉 ここが一致していない場合は、なりすましを疑う。
② Received ヘッダーの確認
- 下から上に読む(一番下が最初の送信元)
- 確認すること:
- 最初の送信元 IP アドレス
- ホスト名(逆引き)
- 自組織のメールサーバに届くまでに経由したサーバ列
👉 不審なサーバ(Google Cloud, AWS, 東欧・中国IPなど)があれば怪しい。
③ 認証結果の確認(SPF / DKIM / DMARC)
- Authentication-Results 行にまとめられていることが多い
- SPF: envelope-from のドメインと送信IPが許可されているか
- DKIM: DKIM-Signature の署名検証が通るか
- DMARC: From のドメインと SPF/DKIM が整合しているか
👉 DMARC が FAIL なら、ほぼ「なりすまし」と考えて良い。
④ DKIM-Signature ヘッダーの解読
d=署名ドメインs=セレクタ(DNSのどの鍵を使うか)a=アルゴリズム(例: rsa-sha256)
👉 公開鍵を DNS から取得して検証する仕組み。
⑤ Subject / Content-Type / Encoding の確認
- 件名が Base64 エンコードや文字化け風 → スパムの特徴
- 本文が「Content-Transfer-Encoding: base64」で丸ごと隠されている → フィルタ回避の可能性
- HTML メールならリンク先の URL を必ず確認する
⑥ Message-ID / X-Mailer / Date の確認
- Message-ID が怪しいドメイン(例: free-mail, 新規登録ドメイン)
- X-Mailer が正規クライアント(Outlook, Gmail など)か、意味不明な文字列か
- Date と Received の時刻に大きなズレがないか
⑦ WHOIS / レピュテーション調査
- From ドメインやリンクドメインを WHOIS で調べる
- 登録直後/匿名登録/見知らぬレジストラ → 怪しい
- IPアドレスの ASN や国情報を調べる
- 攻撃者がよく使うレンタルサーバやクラウド(AWS/GCP/OVHなど)なら注意
⑧ 総合判定
- From の表示名と実ドメインの乖離
- SPF/DKIM/DMARC の結果
- Received の送信元サーバ
- 本文のエンコードやリンク先
を総合して、「正規」「不審」「フィッシング」と判定する。
✅ まとめフロー(簡略)
- From / Return-Path → ドメイン一致?
- Received → 送信元IP / 経路確認
- SPF / DKIM / DMARC → 認証結果チェック
- DKIM-Signature → ドメイン署名の正当性
- Content-Type / Encoding → 不審な難読化
- Message-ID / X-Mailer → 正規クライアントか?
- WHOIS / レピュテーション → ドメイン/送信元の信頼性
- 総合判定
👉 ご希望なら、これを チェックリスト形式(SOCアナリスト用フォーマット) にまとめ直してお渡しできますが、どうしますか?
コメント