特集:ホームユーザーのための実践的セキュリティ術(第4回)
|
メールヘッダの例1Received: from unknown (HELO sv03.geocities.co.jp) (210.153.89.186)by ■■■.com with SMTP; 30 Aug 2002 20:04:04 +0900 Received: from ml01.geocities.co.jp (ml01.geocities.co.jp [210.153.89.162]) by sv03.geocities.co.jp (8.11.6+3.4W/8.11.6) with ESMTP id g7UB43K90508 for <■■■@■■■.com>; Fri, 30 Aug 2002 20:04:03 +0900 (JST) (envelope-from ■■■@miyazaki■■■.ne.jp) Received: from mcn-ma1.miyazaki■■■.ne.jp (mcn-ma1.miyazaki■■■.ne.jp [■■.216.62.84]) by ml01.geocities.co.jp (1.3G-8.9.3/GeocitiesJ-3.0) with ESMTP id UAA06670 for <■■■@geocities.co.jp>; Fri, 30 Aug 2002 20:03:58 +0900 (JST) Received: from Axvmc (mcn-cm2d7119.miyazaki■■■.ne.jp [■■.216.48.119]) by mcn-ma1.miyazaki■■■.ne.jp (8.11.6+3.4W/3.7W) with SMTP id g7UB3gd22492 for <■■■@geocities.co.jp>; Fri, 30 Aug 2002 20:03:42 +0900 (JST) Date: Fri, 30 Aug 2002 20:03:42 +0900 (JST) Message-Id: <200208301103.g7UB3gd22492@mcn-ma1.miyazaki■■■.ne.jp> From: sumire To: ■■■@geocities.co.jp Subject: (C) 2001 Yahoo Japan Corporation. All Rights MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=U0sXl434xpZPby7GtCy |
これらのヘッダのうち、「Received」は中継するメールサーバによって追加される情報だ。「Received from A by B」というのは、Bというメールサーバが、Aからメールを受け取ったという意味で、メールサーバBによって記録される。送信者が残す情報ならウイルスによる偽装の可能性があるが、メールサーバが残した情報であれば信頼してもよい。
ここでは、いちばん最後の「Received」に注目したい。サーバがメールを中継するたびに「Received」の前に新しい「Received」が追加されていくため、いちばん最後の「Received」の「from」の後は、メールの送信者となる。Fromには、兵庫県某市の職員のようなアドレスが使われていたが、Receivedには宮崎県の某ISPのIPアドレスが記録されている。やはりFromは偽装しているようだ。
中継サーバが残す「Received」は信頼できるものだ。しかし、偽の「Received」によって、紛らわしくなるよう工作されることもある。次のヘッダを見てみよう。
メールヘッダの例2Return-Path: <■■■@yahoo.com.ar>Delivered-To: ■■■@■■■.com Received: (qmail 3910 invoked by uid 114); 6 Oct 2002 06:54:12 +0900 Received: from ■■■@yahoo.com.ar by st31.arena.ne.jp by uid 111 with qmail-scanner-1.10 (sophie: 2.10/3.61. . Clear:0. Processed in 0.035984 secs); 6 Oct 2002 06:54:12 +0900 Received: from unknown (HELO ■■■.jp) (■■.228.1.9) by ■■■.com with SMTP; 6 Oct 2002 06:54:11 +0900 Received: from yahoo.com.ar (■■■.dsl.■■■.net.br [■■.171.120.122]) by ■■■.jp (8.9.3/3.7W) with SMTP id GAA18682 for <■■■@■■■.jp>; Sun, 6 Oct 2002 06:53:59 +0900 (JST) From: ■■■@yahoo.com.ar Received: from rly-xw05.o■■■.com ([■■.192.49.52]) by da001d2020.loxi.p■■■.net with QMQP; Sat, 21 Sep 2002 23:56:35 -0700 Received: from unknown (HELO mta85.snfc21.■■■.net) (85.60.103.96) by rly-yk04.a■■■.com with local; 21 Sep 2002 16:55:50 +0200 Received: from ■■.152.163.238 ([■■.152.163.238]) by rly-xw01.o■■■.com with QMQP; Sat, 21 Sep 2002 18:55:05 +0300 Received: from unknown (HELO rly-yk04.a■■■.com) (34.3.216.41) by rly-xw05.o■■■.com with SMTP; 21 Sep 2002 21:54:20 +1200 Received: from [■■.41.66.6] by rly-xw05.o■■■.com with smtp; 22 Sep 2002 09:53:35 -0100 Reply-To: <■■■@yahoo.com.ar> Message-ID: <000c42e52d8d$8233e8e6$5dd48ab6@qbubyo> To: <■■■@■■■.jp> Subject: ■■■ Date: Sun, 22 Sep 2002 18:39:53 -1000 |
最後の「Received」から考えると、ここに書かれた「■■.41.66.6」というIPアドレスが送信元のように思えるが、実は、Fromの後にある「Received」はすべて偽物である。
サーバA→サーバB→サーバC→サーバDとメールが中継される場合、「Received from C by D」「Received from B by C」「Received from A by B」というヘッダが残されるはずだ。ところが、Fromの後の「Received」では「da001d2020.loxi.p■■■.net」が受け取ったことになっているが、Fromの前の「Received」では「■■■.dsl.■■■.net.br」から中継されている。この2つは本来同じものにならなければならない。したがって、Fromの後は、メールサーバが残したものではなく、このSPAMメールの送信者による偽装だと考えられる。このメールの実際の送信者は「■■■.dsl.■■■.net.br」(■■.171.120.122)であると考えられる。
もちろん、IPアドレスが判明しただけでは、感染ユーザーに連絡をとることはできない。しかし、メールヘッダの「Received」によって、利用しているISPと、ISPから割り当てられたIPアドレス、時刻が判った。これだけの情報があれば、ISPの管理者ならユーザーを特定できる。そこで、感染ユーザーに直接ではなく、ISPのサポートを通じて連絡をとることにしたい。ISPといってもさまざまなところがあるが、最近は小さなISPでもしっかりしており、ウイルスの感染メールにせよ、SPAMメールにせよ、サポートに連絡をとると、きちんと対処してくれるところが多い。感染ユーザーに直接連絡をとるわけではないのだが、しばらくすると感染メールが届かなくなるので、感染ユーザーに話が伝わったことがわかる。
なお、ISPのサポートのメールアドレスだが、「Received」に表示されるホスト名から推測しよう。ドメイン名がわかれば、とりあえず「support@■■■.ne.jp」にメールを送ってみたり、「http://www.■■■.ne.jp」にアクセスし、サポートのメールアドレスを探したりしてもよい。ただ、サポートへのメールには、感染メールのヘッダを添付することを忘れないようにしたい。
また、IPアドレスだけでは、どこのISPかわからない場合は、日本ネットワークインフォメーションセンター(JPNIC)のデータベース「Whois」(http://whois.nic.ad.jp/cgi-bin/whois_gw)に、IPアドレスをそのまま入力して検索するとよいだろう。JPNICの管理下にあるものならば、そのIPアドレスを管理しているISPの名前を教えてくれる。
関連記事[吉川敦,ITmedia]
最新CPU搭載パソコンはドスパラで!!
第3世代インテルCoreプロセッサー搭載PC ドスパラはスピード出荷でお届けします!!
最新スペック搭載ゲームパソコン
高性能でゲームが快適なのは
ドスパラゲームパソコンガレリア!