リビング＋：しつこいウイルスメールへの対処法～Fromを詐称されたメールから送信元を特定

リビング＋：特集

2003/02/27 23:59:00 更新

特集：ホームユーザーのための実践的セキュリティ術（第4回）
しつこいウイルスメールへの対処法～Fromを詐称されたメールから送信元を特定

最近のウイルスは、Webブラウザのキャッシュを調べ、勝手に感染メールを送りつけてくるものが多い。ワクチンソフトを導入しておけば、ウイルスに感染することはまずないが、できれば感染ユーザーに連絡し、駆除してもらいたいところだ。それでは、どうやって連絡をとればよいのだろうか

　第3回までに述べた方法で、基本的なセキュリティ対策を講じることができた。それでも運用を続けていると、わずらわしい出来事が発生する。

　例えば、最近のウイルスは、Webブラウザのキャッシュを調べ、勝手に感染メールを送りつけてくるものが多い。このため、ホームページを開設しているユーザーは、ヒット数が増加するにつれ、大量のウイルス感染メールが届くことがある。もちろん、ワクチンソフトを導入しておけば、ウイルスに感染することはまずない。しかし、メールソフトを起動するたびに、感染メールを検出したという警告が表示されるのは、かなり鬱陶しい。最悪の場合、メールボックスが感染メールで埋まってしまうことさえある。

　このごろは、ハードディスクの内容を消去するといったような悪質なウイルスは減った。しかし、その代わり感染力がすさまじいものが増えている。ファイルには感染しないものの、複製した自分自身をメールに添付して勝手にばらまき、単独で増殖していくタイプの不正プログラムのことを「ワーム」という。このようなワームが流行している。ワームは感染したPCに対しては大した悪さをしないものが多く、感染してもなかなか気づかない。こうして、感染したPCからは大量のウイルス感染メールがばら撒かれていくことになる。

　数年前なら、ウイルスに感染されたメールが届いても、単純に送信者に「感染してるから、ワクチンソフトで除去するように」連絡すればよかった。

　ところが、単独で勝手に感染メールをばらまくワームが増加してくると、あまり親しくない知人や、全然見知らぬ人から、感染メールが送られてくるようになった。ワームがWebブラウザのキャッシュなどをあさり、Webページに掲載されているメールアドレスを探し出し、そのアドレス宛てに勝手に感染メールを送りつけるからだ。あなたが開設しているホームページを、たまたま覗いたユーザーがワームに感染してしまうと、そのユーザーから面識のないあなたに感染メールが送られるのだ。

　それでも、ワームが「Outlook Express」などメールソフトの機能を使って送信していた頃はよかった。送信者のメールアドレスがFrom欄に残るからだ。しかし、2002年に大流行したKlezなどの場合は、From欄を偽装する。かなり感染力が強いワームだったため、何度も感染メールを送りつけてくるのだが、感染メールにそのまま返信しても、感染ユーザーに連絡をとることができない。結局、ユーザーが自分で感染に気づくまで、周囲に感染メールがばらまかれることになる。

　このような鬱陶しいウイルス感染メールには、どのように対処すればよいのだろうか。そのまま放置しておいても、ワクチンソフトが感染から守ってくれるだろう。しかし、感染PCを放置しておくと、インターネットの限られた帯域が、感染メールのばらまきによって無駄に消費されてしまう。また、被害が広まることにもなる。できれば、感染ユーザーに連絡して、ワームを駆除してもらいたいところだ。それでは、どうやって連絡をとればよいのだろうか。

中継サーバが付加するヘッダに注目

　メールのFrom欄やDate欄は、送信側（のプログラム）が付加する情報だ。このため、送信側がウイルスに感染してしまうと、いくらでも偽装することができる。未来からのタイムマシンメールを送ることもできるし、総理大臣からのメールを装うこともできる。これらの情報はあてにならない。

　そこで、メールソフトを操作して、メールのヘッダ情報を表示してみてほしい。次のような内容が表示されるだろう。

メールヘッダの例1

Received: from unknown (HELO sv03.geocities.co.jp) (210.153.89.186)
by ■■■.com with SMTP; 30 Aug 2002 20:04:04 +0900
Received: from ml01.geocities.co.jp (ml01.geocities.co.jp [210.153.89.162])
by sv03.geocities.co.jp (8.11.6+3.4W/8.11.6) with ESMTP id g7UB43K90508
for <■■■@■■■.com>; Fri, 30 Aug 2002 20:04:03 +0900 (JST)
(envelope-from ■■■@miyazaki■■■.ne.jp)
Received: from mcn-ma1.miyazaki■■■.ne.jp (mcn-ma1.miyazaki■■■.ne.jp [■■.216.62.84]) by
ml01.geocities.co.jp (1.3G-8.9.3/GeocitiesJ-3.0) with ESMTP id UAA06670 for <■■■@geocities.co.jp>; Fri, 30 Aug 2002 20:03:58 +0900 (JST)
Received: from Axvmc (mcn-cm2d7119.miyazaki■■■.ne.jp [■■.216.48.119])
by mcn-ma1.miyazaki■■■.ne.jp (8.11.6+3.4W/3.7W) with SMTP id g7UB3gd22492
for <■■■@geocities.co.jp>; Fri, 30 Aug 2002 20:03:42 +0900 (JST)
Date: Fri, 30 Aug 2002 20:03:42 +0900 (JST)
Message-Id: <200208301103.g7UB3gd22492@mcn-ma1.miyazaki■■■.ne.jp>
From: sumire
To: ■■■@geocities.co.jp
Subject: (C) 2001 Yahoo Japan Corporation. All Rights
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=U0sXl434xpZPby7GtCy

※実際に送られてきた感染メールのヘッダ。個人情報に関わる部分は伏字にしている。

　これらのヘッダのうち、「Received」は中継するメールサーバによって追加される情報だ。「Received from A by B」というのは、Bというメールサーバが、Aからメールを受け取ったという意味で、メールサーバBによって記録される。送信者が残す情報ならウイルスによる偽装の可能性があるが、メールサーバが残した情報であれば信頼してもよい。

　ここでは、いちばん最後の「Received」に注目したい。サーバがメールを中継するたびに「Received」の前に新しい「Received」が追加されていくため、いちばん最後の「Received」の「from」の後は、メールの送信者となる。Fromには、兵庫県某市の職員のようなアドレスが使われていたが、Receivedには宮崎県の某ISPのIPアドレスが記録されている。やはりFromは偽装しているようだ。

Receivedの偽装に気をつける

　中継サーバが残す「Received」は信頼できるものだ。しかし、偽の「Received」によって、紛らわしくなるよう工作されることもある。次のヘッダを見てみよう。

メールヘッダの例2

Return-Path: <■■■@yahoo.com.ar>
Delivered-To: ■■■@■■■.com
Received: (qmail 3910 invoked by uid 114); 6 Oct 2002 06:54:12 +0900
Received: from ■■■@yahoo.com.ar by st31.arena.ne.jp
by uid 111 with qmail-scanner-1.10 (sophie: 2.10/3.61. . Clear:0. Processed in 0.035984 secs); 6 Oct 2002 06:54:12 +0900
Received: from unknown (HELO ■■■.jp) (■■.228.1.9)
by ■■■.com with SMTP; 6 Oct 2002 06:54:11 +0900
Received: from yahoo.com.ar (■■■.dsl.■■■.net.br [■■.171.120.122])
by ■■■.jp (8.9.3/3.7W) with SMTP id GAA18682
for <■■■@■■■.jp>; Sun, 6 Oct 2002 06:53:59 +0900 (JST)
From: ■■■@yahoo.com.ar
Received: from rly-xw05.o■■■.com ([■■.192.49.52])
by da001d2020.loxi.p■■■.net with QMQP; Sat, 21 Sep 2002 23:56:35 -0700
Received: from unknown (HELO mta85.snfc21.■■■.net) (85.60.103.96)
by rly-yk04.a■■■.com with local; 21 Sep 2002 16:55:50 +0200
Received: from ■■.152.163.238 ([■■.152.163.238]) by rly-xw01.o■■■.com with QMQP; Sat, 21 Sep 2002 18:55:05 +0300
Received: from unknown (HELO rly-yk04.a■■■.com) (34.3.216.41)
by rly-xw05.o■■■.com with SMTP; 21 Sep 2002 21:54:20 +1200
Received: from [■■.41.66.6] by rly-xw05.o■■■.com with smtp; 22 Sep 2002 09:53:35 -0100
Reply-To: <■■■@yahoo.com.ar>
Message-ID: <000c42e52d8d$8233e8e6$5dd48ab6@qbubyo>
To: <■■■@■■■.jp>
Subject: ■■■
Date: Sun, 22 Sep 2002 18:39:53 -1000

※あるSPAMメールのヘッダ。SPAMメールを禁止しているISPが多いため、送信元が判りづらくなるよう工作したようだ。

　最後の「Received」から考えると、ここに書かれた「■■.41.66.6」というIPアドレスが送信元のように思えるが、実は、Fromの後にある「Received」はすべて偽物である。

　サーバA→サーバB→サーバC→サーバDとメールが中継される場合、「Received from C by D」「Received from B by C」「Received from A by B」というヘッダが残されるはずだ。ところが、Fromの後の「Received」では「da001d2020.loxi.p■■■.net」が受け取ったことになっているが、Fromの前の「Received」では「■■■.dsl.■■■.net.br」から中継されている。この2つは本来同じものにならなければならない。したがって、Fromの後は、メールサーバが残したものではなく、このSPAMメールの送信者による偽装だと考えられる。このメールの実際の送信者は「■■■.dsl.■■■.net.br」(■■.171.120.122)であると考えられる。

IPアドレスが判ったら

　もちろん、IPアドレスが判明しただけでは、感染ユーザーに連絡をとることはできない。しかし、メールヘッダの「Received」によって、利用しているISPと、ISPから割り当てられたIPアドレス、時刻が判った。これだけの情報があれば、ISPの管理者ならユーザーを特定できる。そこで、感染ユーザーに直接ではなく、ISPのサポートを通じて連絡をとることにしたい。ISPといってもさまざまなところがあるが、最近は小さなISPでもしっかりしており、ウイルスの感染メールにせよ、SPAMメールにせよ、サポートに連絡をとると、きちんと対処してくれるところが多い。感染ユーザーに直接連絡をとるわけではないのだが、しばらくすると感染メールが届かなくなるので、感染ユーザーに話が伝わったことがわかる。

　なお、ISPのサポートのメールアドレスだが、「Received」に表示されるホスト名から推測しよう。ドメイン名がわかれば、とりあえず「support@■■■.ne.jp」にメールを送ってみたり、「http://www.■■■.ne.jp」にアクセスし、サポートのメールアドレスを探したりしてもよい。ただ、サポートへのメールには、感染メールのヘッダを添付することを忘れないようにしたい。

　また、IPアドレスだけでは、どこのISPかわからない場合は、日本ネットワークインフォメーションセンター（JPNIC）のデータベース「Whois」（http://whois.nic.ad.jp/cgi-bin/whois_gw）に、IPアドレスをそのまま入力して検索するとよいだろう。JPNICの管理下にあるものならば、そのIPアドレスを管理しているISPの名前を教えてくれる。

関連記事