もしもアフィリエイトから不審なメールが届いたので調べてみた。

2020年11月24日送信元が「【もしもアフィリエイト】no-reply@moshimo.com」から不審なメールが届きました。

もしもアフィリエイトとは？

もしもアフィリエイトとは、ブログなどでアフィリエイトを行うためのASPサイトです。

通常のメール

いつもはアフィリエイトの成果発生や承認時にメールがきます。

その際送信元として表示されるのはメールアドレスの「no-reply@moshimo.com」でテキストメールが送られてきます。

今回送られてきた不審なメール

今回送られてきたメールは送信元が「【もしもアフィリエイト】」と記載されています。送信元のメールアドレスは表面上は、成果発生時などと同じ「no-reply@moshimo.com」が記載されています。

件名は「《CEO登壇！》特単がもらえるポジウィルキャリアのセミナー開催！」内容は、「SAMPLE」と記載された画像と「文章を入力してください文章を入力してください文章を入力してください…」でした。

ヘッダー情報を確認

不審なメールのヘッダー情報を確認してみました。

送信元のIPアドレスは「172.18.129.37」、ホスト名は「ip-172-18-129-37.ap-northeast-1.compute.internal（国不明）」、送信元のSMTPとして利用されているドメインは「b133.repica.jp」、IPアドレスは「118.67.107.65（日本）」でした。

リターンパスに設定されているメールアドレスは、送信元して記載されているメールアドレスではなくドメインも異なる「276251-9007@b183.repica.jp」となっています。

Arc-Seal: i=1; a=rsa-sha256; t=1606188665; cv=none; d=google.com; s=arc-20160816; b=oXDfbJ4yfZJcBnKyTs/oclnp77jer98SxyfecR+TA73DHPfciSXlDb/flINyjLtq6x xfc08oZmKPBVe+yVhDm+NuFd6IM3FdQikZvW4tK8PUnghxU5/4mOOw0MWQMRCzpR6J6U r4BRk8rwfZj8BJPf4xx59h1ofoTqobizvrlBOU1HTeCYQaWYcbHFP1Q+vWf0g/kxnHdA ImTzSHa9pNYWeRPxS8QvcQVubEl77IW5b9g6WsrmPikAQX6qnPWtF5Ox/jcEq9pBD8dz ENUIpTONvHGBvkpnTEgRztDWFzqGAMDRcSVWflel2m+uFOH7fyw78wZU5H6p37Xi3ePi kOdg==X-Received: by 2002:aa7:8a97:0:b029:160:c0b:671a with SMTP id a23-20020aa78a970000b02901600c0b671amr2304674pfc.16.1606188665726; Mon, 23 Nov 2020 19:31:05 -0800 (PST)X-Se-Hid: b133.repica.jp.1606188596371955Return-Path: <276251-9007@b183.repica.jp>Arc-Authentication-Results: i=1; mx.google.com; dkim=pass header.i=@repica.jp header.s=re201301 header.b=KyaYakNu; spf=pass (google.com: domain of 276251-9007@b183.repica.jp designates 118.67.107.66 as permitted sender) smtp.mailfrom=276251-9007@b183.repica.jpX-Google-Smtp-Source: ABdhPJyWyoXXk11EaZPnwi1hAdJUHueVVBbME9rygs/IOYDGxFvhqrVkScJVlNtCHJXjW36WWCivMime-Version: 1.0Authentication-Results: mx.google.com; dkim=pass header.i=@repica.jp header.s=re201301 header.b=KyaYakNu; spf=pass (google.com: domain of 276251-9007@b183.repica.jp designates 118.67.107.66 as permitted sender) smtp.mailfrom=276251-9007@b183.repica.jpArc-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816; h=content-transfer-encoding:mime-version:date:message-id:subject:to :from:dkim-signature; bh=Nr6kkkGWMVD59TdwnoUjYm7iD9R4/eJllsd+XBYEBhM=; b=WSMC2QBueWtUSbxj6cnvsTGIq+QXcb1V5oTfdOND04VpcaQ7+GPgNgQa+zvxM++eSd riJSB/3TtOioHUqUl6MQ0Y1p5EYraxOQUalOqmm8RpoVxhqh0hRFpcnJ8RKDFyuQ7XkF P3BoXwoApSsmu9dSV8RtH3DQ393uRQF2V+VW4XW4tYPfRv+EqhcPWZKQ0FfRmePhC1OM aBVXYxaRsjzNECVRLjEKafrLnwOF3wEdLrtp6oyBLhtHEyERHQ9eUihz1UN90nVPd7bc Yf9IWxG0j8PPBmgMDoVVwOnLTEbaDCY6dDPqt6bjmX2FhJWFLr6bohHoZUX+TTnRmVww OMig==Dkim-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=repica.jp; s=re201301; t=1606188596; bh=Nr6kkkGWMVD59TdwnoUjYm7iD9R4/eJllsd+XBYEBhM=; h=From:To:Subject:Message-Id:Date:MIME-Version:Content-Type: Content-Transfer-Encoding; b=KyaYakNuqxoPC2bZIIOT8s4AezXKi2rR1mBuuL1QoUvVm/oJQh4/a3S17s6Twytto Oo+443skkwJ5pTMyoCJoNBRxlgVHvIwrvtI7GTBr4bZjppUquSgxAv+M63sG6ZvH+2 +brqE6Ulo93DMrTstNC5c5scaCAFxTb6QvNjkMBg=Content-Transfer-Encoding: 7bit<19rf-002LH@b183.repica.jp>X-Se-Gid: 19rf@b183.repica.jpContent-Type: multipart/alternative; boundary="mimemk00"Received-Spf: pass (google.com: domain of 276251-9007@b183.repica.jp designates 118.67.107.66 as permitted sender) client-ip=118.67.107.66;Delivered-To: 自分のメールアドレスReceived: by 2002:a9f:3053:0:0:0:0:0 with SMTP id i19csp627591uab; Mon, 23 Nov 2020 19:31:05 -0800 (PST)Received: from b13301.repica.jp (b13301.repica.jp. [118.67.107.66]) by mx.google.com with ESMTPS id p17si12298179plo.5.2020.11.23.19.31.05 for <自分のメールアドレス> (version=TLS1_2 cipher=ECDHE-ECDSA-AES128-GCM-SHA256 bits=128/128); Mon, 23 Nov 2020 19:31:05 -0800 (PST)Received: from unknown (HELO) (172.18.129.37) by b133.repica.jp with SMTP; 24 Nov 2020 12:29:56 +0900

Arc-Seal: i=1; a=rsa-sha256; t=1606188665; cv=none; d=google.com; s=arc-20160816; b=oXDfbJ4yfZJcBnKyTs/oclnp77jer98SxyfecR+TA73DHPfciSXlDb/flINyjLtq6x xfc08oZmKPBVe+yVhDm+NuFd6IM3FdQikZvW4tK8PUnghxU5/4mOOw0MWQMRCzpR6J6U r4BRk8rwfZj8BJPf4xx59h1ofoTqobizvrlBOU1HTeCYQaWYcbHFP1Q+vWf0g/kxnHdA ImTzSHa9pNYWeRPxS8QvcQVubEl77IW5b9g6WsrmPikAQX6qnPWtF5Ox/jcEq9pBD8dz ENUIpTONvHGBvkpnTEgRztDWFzqGAMDRcSVWflel2m+uFOH7fyw78wZU5H6p37Xi3ePi kOdg==

X-Received: by 2002:aa7:8a97:0:b029:160:c0b:671a with SMTP id a23-20020aa78a970000b02901600c0b671amr2304674pfc.16.1606188665726; Mon, 23 Nov 2020 19:31:05 -0800 (PST)

X-Se-Hid: b133.repica.jp.1606188596371955

Return-Path: <276251-9007@b183.repica.jp>

Arc-Authentication-Results: i=1; mx.google.com; dkim=pass header.i=@repica.jp header.s=re201301 header.b=KyaYakNu; spf=pass (google.com: domain of 276251-9007@b183.repica.jp designates 118.67.107.66 as permitted sender) smtp.mailfrom=276251-9007@b183.repica.jp

X-Google-Smtp-Source: ABdhPJyWyoXXk11EaZPnwi1hAdJUHueVVBbME9rygs/IOYDGxFvhqrVkScJVlNtCHJXjW36WWCiv

Mime-Version: 1.0

Authentication-Results: mx.google.com; dkim=pass header.i=@repica.jp header.s=re201301 header.b=KyaYakNu; spf=pass (google.com: domain of 276251-9007@b183.repica.jp designates 118.67.107.66 as permitted sender) smtp.mailfrom=276251-9007@b183.repica.jp

Arc-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816; h=content-transfer-encoding:mime-version:date:message-id:subject:to :from:dkim-signature; bh=Nr6kkkGWMVD59TdwnoUjYm7iD9R4/eJllsd+XBYEBhM=; b=WSMC2QBueWtUSbxj6cnvsTGIq+QXcb1V5oTfdOND04VpcaQ7+GPgNgQa+zvxM++eSd riJSB/3TtOioHUqUl6MQ0Y1p5EYraxOQUalOqmm8RpoVxhqh0hRFpcnJ8RKDFyuQ7XkF P3BoXwoApSsmu9dSV8RtH3DQ393uRQF2V+VW4XW4tYPfRv+EqhcPWZKQ0FfRmePhC1OM aBVXYxaRsjzNECVRLjEKafrLnwOF3wEdLrtp6oyBLhtHEyERHQ9eUihz1UN90nVPd7bc Yf9IWxG0j8PPBmgMDoVVwOnLTEbaDCY6dDPqt6bjmX2FhJWFLr6bohHoZUX+TTnRmVww OMig==

Dkim-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=repica.jp; s=re201301; t=1606188596; bh=Nr6kkkGWMVD59TdwnoUjYm7iD9R4/eJllsd+XBYEBhM=; h=From:To:Subject:Message-Id:Date:MIME-Version:Content-Type: Content-Transfer-Encoding; b=KyaYakNuqxoPC2bZIIOT8s4AezXKi2rR1mBuuL1QoUvVm/oJQh4/a3S17s6Twytto Oo+443skkwJ5pTMyoCJoNBRxlgVHvIwrvtI7GTBr4bZjppUquSgxAv+M63sG6ZvH+2 +brqE6Ulo93DMrTstNC5c5scaCAFxTb6QvNjkMBg=

Content-Transfer-Encoding: 7bit

<19rf-002LH@b183.repica.jp>

X-Se-Gid: 19rf@b183.repica.jp

Content-Type: multipart/alternative; boundary="mimemk00"

Received-Spf: pass (google.com: domain of 276251-9007@b183.repica.jp designates 118.67.107.66 as permitted sender) client-ip=118.67.107.66;

Delivered-To: 自分のメールアドレス

Received: by 2002:a9f:3053:0:0:0:0:0 with SMTP id i19csp627591uab; Mon, 23 Nov 2020 19:31:05 -0800 (PST)

Received: from b13301.repica.jp (b13301.repica.jp. [118.67.107.66]) by mx.google.com with ESMTPS id p17si12298179plo.5.2020.11.23.19.31.05 for <自分のメールアドレス> (version=TLS1_2 cipher=ECDHE-ECDSA-AES128-GCM-SHA256 bits=128/128); Mon, 23 Nov 2020 19:31:05 -0800 (PST)