仮想通貨を要求する日本語の脅迫メールが着弾しました

仮想通貨を要求する日本語の脅迫メールについて(JPCERT/CC)にあるように、「仮想通貨を要求する日本語の脅迫メール」が流行しているようです。

ワイも流行にのっているようで、Yahooのメールアドレス宛に届きました(誰も頼んでないですよ?)…が、迷惑メールフォルダに隔離されてましたよ(笑)。

X-YahooFilteredBulk: 5.232.15.42
X-Originating-IP: [5.232.15.42]
Received-SPF: softfail ([5.232.15.42]: domain of transitioning 自分のメールアドレス does not designate 5.232.15.42 as permitted sender) receiver=[5.232.15.42]; client-ip=5.232.15.42; envelope-from=自分のメールアドレス;
Authentication-Results: mta737.mail.djm.yahoo.co.jp  from=yahoo.co.jp; domainkeys=neutral (no sig); dkim=neutral (no sig); header.i=@yahoo.co.jp
Received: from 5.232.15.42  (EHLO 5.232.15.42) (5.232.15.42)
  by mta737.mail.djm.yahoo.co.jp with SMTP; Wed, 19 Sep 2018 14:45:41 +0900
From: <自分のメールアドレス>
To: <自分のメールアドレス>
Subject: =?utf-8?B?44Ki44Kr44Km44Oz44OI44Gu5ZWP6aGM?=
Date: 19 Sep 2018 11:07:28 +0200
MIME-Version: 1.0
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Live Mail 15.4.3508.1109
X-MimeOLE: Produced By Microsoft MimeOLE V15.4.3508.1109

メールヘッダの一部を抜粋するとこんな感じ。”envelope-from”までわざわざ偽装するなど手が込んでいます。そのせいでSPF判定は”softfail”なのですが(笑)。

inetnum:         5.232.0.0 - 5.232.175.255
netname:         TCIKHR
descr:           Telecommunication Company of Khorasan Razavi
country:         IR
admin-c:         JS15290-RIPE
tech-c:          JS15290-RIPE
org:             ORG-TCOK9-RIPE
status:          ASSIGNED PA
mnt-by:          TCI-RIPE-MNT
created:         2014-02-26T07:38:18Z
last-modified:   2015-12-16T06:53:06Z
source:          RIPE

IPアドレスから判る送信元はIR(イラン)のISP(インターネット・サービス・プロバイダ)のようです。こんなメールは真に受けずに無視するに限ります。