ちょっと笑った笑えないメール

つれづれ

こんなメールが届いた。


差出人:三菱東京UFJ銀行
件名:本人認証サービス


もう、この時点でスパム確定なんだけどね。
既に開いてしまっていたので、内容も見てみる。



内容:こんにちは!
最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、利用者の個人情報漏洩事件が起こりました。
お客様のアカウントの安全性を保つために、「三菱東京UFJ銀行システム」がアップグレードされましたが、お客様はアカウントが凍結されないように直ちにご登録のうえご確認ください。


えーと…
とりあえず、三菱東京UFJ銀行のサイトを開いてみる。


【インターネットバンキング】「お振込受付のお知らせ」を装った偽メールにご注意ください!(平成28年7月1日更新)| 三菱UFJ銀行


うん、同じ文面の偽メールに対する注意喚起が出てるね。
かなりデカデカと。


届いたメールは HTML な点でダメダメだし、フォントもかなり怪しい。
なんで日本企業が日本国内に宛てるメールの charset を GB2312 (簡体字中国語) に指定するんだ?


Becky だと、デフォルトで html メールは素の文を表示してくれるので、タグの中身で m.seabay.cn (北京万网志成科技有限公司ドメイン)に誘導しようとしているのが丸見え。
これには苦笑いするしかなかった。


…てか from が mufg.jp (株式会社三菱UFJフィナンシャル・グループ)だけど SPF は設定してないのか?


> nslookup -type=txt mufg.jp
"v=spf1 +ip4:203.178.91.81 +ip4:203.178.91.82 +ip4:124.146.170.8 +ip4:124.146.170.9 +ip4:203.178.127.4 include:spf-bma.mpme.jp include:spf-rmb.mpme.jp +ip4:220.213.236.41 +ip4:220.213.236.42 include:spf1.mufg.jp ~all"


…やたら include 先が多いな、コレ。
include 先も調べてみるか。


> nslookup -type=txt spf-bma.mpme.jp
"v=spf1 include:spf-m1.mpme.jp include:spf-mi1.mpme.jp include:spf-jpx.mpme.jp ~all"


> nslookup -type=txt spf-rmb.mpme.jp
"v=spf1 "
"ip4:125.29.35.2 ip4:125.29.35.3 ip4:125.29.35.4 ip4:125.29.35.5 ip4:125.29.35.6 ip4:125.29.35.7 ip4:125.29.35.8 ip4:125.29.35.9 ip4:210.169.34.0/26 "
"ip4:42.127.254.0/23 ip4:27.121.46.192/26 ip4:106.186.67.0/24 ip4:106.186.92.192/26 ip4:125.29.57.64/26 ip4:106.185.82.0/23 ip4:106.185.84.0/23 ip4:106.185.96.0/22 ip4:106.185.100.0/23 ip4:106.184.17.0/24 ip4:106.184.19.0/26 "
"~all"


> nslookup -type=txt spf1.mufg.jp
"v=spf1 +ip4:203.99.243.64/27 +ip4:211.128.103.0/27 +ip4:202.228.56.35 +ip4:202.228.56.36 ~all"


…えーとォ?
include 先の include 先も調べてみるか。


> nslookup -type=txt spf-m1.mpme.jp
"v=spf1 ip4:125.29.35.0/26 ip4:124.211.29.64/26 ip4:124.215.202.64/26 ip4:124.215.202.128/26 ip4:124.215.202.192/26 ip4:210.229.151.128/26 ip4:124.215.209.64/26 ip4:210.249.66.184/29 ip4:210.255.68.96/28 ip4:211.18.216.32/28 ~all"


> nslookup -type=txt spf-mi1.mpme.jp
"v=spf1 ip4:121.50.56.0/24 ip4:113.52.157.0/24 ip4:220.216.68.0/23 ip4:122.220.198.0/24 ip4:27.121.40.0/23 ip4:27.121.6.0/23 ip4:165.100.238.0/26 ip4:106.184.16.0/24 ~all"


> nslookup -type=txt spf-jpx.mpme.jp
"v=spf1 ip4:42.127.254.0/23 ip4:27.121.46.192/26 ip4:106.186.67.0/24 ip4:106.186.92.192/26 ip4:125.29.57.64/26 ip4:106.185.82.0/23 ip4:106.185.84.0/23 ip4:106.185.96.0/22 ip4:106.185.100.0/23 ip4:106.184.17.0/24 ip4:106.184.19.0/26 ~all"


ようやく出揃ったかな?
単純に並べなおしてみると、以下のような感じ。

1 27.121.6.0/23
2 27.121.40.0/23
3 27.121.46.192/26
4 27.121.46.192/26
5 42.127.254.0/23
6 42.127.254.0/23
7 106.184.16.0/24
8 106.184.17.0/24
9 106.184.17.0/24
10 106.184.19.0/26
11 106.184.19.0/26
12 106.185.82.0/23
13 106.185.82.0/23
14 106.185.84.0/23
15 106.185.84.0/23
16 106.185.96.0/22
17 106.185.96.0/22
18 106.185.100.0/23
19 106.185.100.0/23
20 106.186.67.0/24
21 106.186.67.0/24
22 106.186.92.192/26
23 106.186.92.192/26
24 113.52.157.0/24
25 121.50.56.0/24
26 122.220.198.0/24
27 124.146.170.8
28 124.146.170.9
29 124.211.29.64/26
30 124.215.202.64/26
31 124.215.202.128/26
32 124.215.202.192/26
33 124.215.209.64/26
34 125.29.35.2
35 125.29.35.3
36 125.29.35.4
37 125.29.35.5
38 125.29.35.6
39 125.29.35.7
40 125.29.35.8
41 125.29.35.9
42 125.29.35.0/26
43 125.29.57.64/26
44 125.29.57.64/26
45 165.100.238.0/26
46 202.228.56.35
47 202.228.56.36
48 203.99.243.64/27
49 203.178.91.81
50 203.178.91.82
51 203.178.127.4
52 210.169.34.0/26
53 210.229.151.128/26
54 210.249.66.184/29
55 210.255.68.96/28
56 211.18.216.32/28
57 211.128.103.0/27
58 220.216.68.0/23
59 ~all


重複が、結構あるね。
SPFレコードの書き方もバラバラだし、銀行として管理しきれてないのかな?
いくつもの統廃合を経た結果だと考えれば、辻褄はあうけどね。


で、最後の ~all は、SPF の仕様だと SoftFail になっている。


Sender ID:受信者側の設定作業 (1/3):送信ドメイン認証技術解説 - @IT
SPFレコードが公開されており、送信元のIPアドレスが「~」クオリファイヤの条件にマッチする場合である。RFCではFailとNeutralの中間位の扱いをすべきであるとされている。結果がSoftFailである場合には、メールを即座に受信拒否すべきではない。


なので、東京三菱UFJ銀行SPF レコードを読む限り、サイトの記載と併せて考えると次のような主張をしているように感じる。
「メールサーバが多すぎて管理が面倒。自分で分かってるものだけは記載しておくけど、誰が東京三菱UFJ銀行を名乗っても受信拒否しないでね」


…うん、SPF を設定している意味無いね。
なんか「騙されたヤツが悪いんだよ」と言わんばかり。


長々と書いたけど、最後に笑えない部分。
これ、個人情報の流出自体は、嘘じゃなくねぇ?