新年早々スパムメールを受け取ったので追跡

今年一番のメールはフィッシングメールでした。
公開していないドメインにも同様のメールが届いていたので、気になった点を調べてみました。

受信したメール

①メール１「年賀状風」

　Xで同じ内容のメールを受信したという投稿が上がっており、こちらでもメールヘッダも確認しましたが、なりすましメールでした。
　リンクも無いことから、おそらくメールアドレスが生きているかどうかを探っていると思われます。

【受信日時】　　2026/1/3 23:00
【from】 info<okxovi@marunited.com>
【タイトル】　恭賀新年
【内容】
明けましておめでとうございます
本年もよろしくお願いいたします
中村充夫

②メール２「スパムメール」

　フィッシングメールの練習台として使われているんでしょうか？名前は入っていないし、リンク先も開けない状態です。
　騙されてみることもできませんでした。

【受信日時】　2026/1/2 23:00
【from】 American Express<xnoqlodkmsu@steris.co.jp>
【タイトル】　【重要】82,500ポイントの有効期限は2026年1月11日です
【内容】
○○ 様
平素はアメリカン?エキスプレスのカードをご利用いただき、誠にありがとうございます。
【ポイント有効期限のお知らせ】
お客様のアカウントに以下のポイントがまもなく有効期限を迎えるため、お知らせいたします。
● 有効期限対象ポイント：82,500ポイント
● 有効期限日：2026年1月11日（火）
有効期限を過ぎたポイントは自動的に失効いたします。
お早めにポイントをご利用ください。
　　「ポイントを確認利用する（https://amex-rewards.jewelersja.com）」
：

調べたこと

　他のメールアドレスにも同様のメールが届いていたので、ヘッダー情報からそれぞれのメールの送信元を一覧にしました。

　この内容から
　　年賀メールが、さくらインターネットを使って送信されている点から、さくらインターネット上のサーバを使用してメールが送信されていること
　　SPF＝softfailとなっていることから、のっとり等による送信が疑われること
　　フィッシングメールは、全てnuro回線を使用して送信されていること
がわかりました。

　私はさくらインターネットで複数のホームページを運営しているのですが、全く公開していないドメインにも同じメールが届いていましたので、レンタルサーバから情報が流出しているのではないかと思っています。（不安）

●フィッシングサイトについて

　フィッシングサイト自体は現時点で作られていないようなのですが、次のコマンドで接続したところ、中国語のメッセージが表示されるので中華サーバと思われます。
　サーバはアメリカにあるのに、言語が中国語ですね。（察し

c:\ > curl amex-rewards.jewelersja.com
：
<div class="title">没有找到站点</div>
<p class="t1">您的请求在Web服务器中没有找到对应的站点！</p>
<p class="t2">可能原因：</p>
<li>您没有将此域名或IP绑定到对应站点!</li>
<li>配置文件未生效!</li>
</ol>
<p class="t2">如何解决：</p>
<ol>
<li>检查是否已经绑定到对应站点，若确认已绑定，请尝试重载Web服务；</li>
<li>检查端口是否正确；</li>
<li>若您使用了CDN产品，请尝试清除CDN缓存；</li>
<li>普通网站访客，请联系网站管理员；</li>
:

　タンスのServerAnalyzerで調べたところ、sshが使われているようですので、中国からアメリカのサーバにリモートログインしてフィッシングサイトを作っているのだと思われます。

　作っている人へ
　　フィッシングサイト作って、メールで配信とかマジでやめてね　犯罪だよ。

最後に

　今年最初のメールがフィッシングメールだったのは残念ですが、いろいろと勉強できてよかったです。
　頂いたフィッシングメールについては、アメリカンエクスプレスでないことは明らかですので、
　　　フィッシング対策協議会　Council of Anti-Phishing Japan | フィッシングの報告
に通報させていただきました。