| [ 12912 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ |
|---|
ID-code:TP.R5jbtzJ.
以下のようなメールが届きました
===============
〜ヘッダ〜
Return-Path: <post-01071996-(私のアカウント)=(ドメインの".ne.jp"がないもの)
by re03.local.freeml.net with SMTP; 21 Jun 2003 04:56:25 -0000
Message-ID: <11112637.1056171312177@ap02.local.freeml.net>
Date: Sat, 21 Jun 2003 13:55:12 +0900 (JST)
From: post-gmo-naitei@freeml.com
To: (私のアドレス)
Subject: =?ISO-2022-JP?B?RnJlZU1MIBskQj41RyckLEksTVckSkVqOUYkTiQqQ04kaSQ7GyhC?=
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-2022-JP
content-transfer-encoding: 7bit
Delivered-To: FreeML mailing list
X-UIDL: A_#"!oH`"!PPm!!XU)"!
Status: RO
〜本文〜
■ FreeMLからのお知らせです。
-------------------------------------------------------------------
あなたの以下の投稿は、承認が必要です。
メール、Web上でML管理者に通知しましたので、しばらくお待ち下さい。
投稿が承認されると、この投稿がMLに配信されます。
投稿が承認されなかった場合は、メールでお知らせします。
□MLの名称
GMO2002新入社員ML
□MLの宛先
gmo-naitei@freeml.com
□投稿の条件
参加者以外の差出人
□件名
Congratulations
□投稿日時
Sat, 21 Jun 2003 13:56:27 +0900 (JST)
-------------------------------------------------------------------
質問など
-------------------------------------------------------------------
□このMLについて
MLオーナー owner-gmo-naitei@freeml.com 宛にメールをお送りください。
□FreeMLの使い方に関するご質問
FreeMLヘルプをご覧ください。→ http://www.freeml.com/help/faq.html
ご不明の点などございましたら、support@freeml.com 宛にご連絡くだ
さい。
FreeML をご利用いただき、ありがとうございます。
-------------------------------------------------------------------
FreeML - 無料メーリングリストサービスの決定版!
http://www.freeml.com support@freeml.com
Received: (qmail 13389 invoked by uid 7791); 21 Jun 2003 04:56:30 -0000
Received: from unknown (HELO www100.secure.ne.jp) (211.9.202.134)
by ml2.freeml.com with SMTP; 21 Jun 2003 04:56:30 -0000
Received: from Jaz (pl813.nas925.o-tokyo.nttpc.ne.jp [210.165.126.45])
by www100.secure.ne.jp (8.9.3p2+3.2W/3.7Wpl2-03/25/03) with SMTP id NAA27953
for <gmo-naitei@freeml.com>; Sat, 21 Jun 2003 13:56:27 +0900 (JST)
Date: Sat, 21 Jun 2003 13:56:27 +0900 (JST)
Message-Id: <200306210456.NAA27953@www100.secure.ne.jp>
From: (私のアドレス。何故?!)
To: gmo-naitei@freeml.com
Subject: Congratulations
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=N47i54lj240bdY
--N47i54lj240bdY
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable
<HTML><HEAD></HEAD><BODY>
<iframe src=3Dcid:Y103go645h1 height=3D0 width=3D0>
</iframe>
<FONT></FONT></BODY></HTML>
--N47i54lj240bdY
Content-Type: audio/x-wav;
name=SchedLog.pif
Content-Transfer-Encoding: base64
Content-ID: <Y103go645h1>
TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAA2AAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4g
==============
最後の化けている数行は私が投稿した”ことになっている”らしい
文章だと思います。実際はもっと長いです。
一体なんなのでしょう。
メールアドレスをカタられて投稿を行った者がいるということでしょうか。
だとしたら、投稿が承認されないように記載された連絡先に
連絡をしたほうがいいのでしょうか。
ID-code:Yo7xBLCvwI6(本記事は06/22-06:56に修正されました)
思うにウイルスメール絡みだと思いますが。
http://earth.endless.ne.jp/users/stakasa/spam/bingdu.html
の
ウイルスの基本
の中の
3●2番の結果、あなたが感染していないのに、いきなり
「○○に届きませんでした」というメールが届く場合があります。
上の図では何ら覚えのない佐藤さんの所へ「山田さんに届きませんでした」
という「ウイルス付き」のメールが届くことになります。
というメールですね。
つまり
pl813.nas925.o-tokyo.nttpc.ne.jp [210.165.126.45]
(HELO www100.secure.ne.jp) (211.9.202.134)
という形でネットに接続していて、データの中に
gmo-naitei@xxxxml.com
少なくとも新入社員じゃない人 様のメアド
が記録されていたパソコンがウイルス感染してしまい、
少なくとも新入社員じゃない人 様のメアド
を差出人として騙ったウイルスメールが
gmo-naitei@xxxxml.com
に向けて送られたものの、
少なくとも新入社員じゃない人 様の
メアドは
gmo-naitei@xxxxml.com
に登録されていなかった為、
弾かれ、それが本当の差出人の所へ報告されずに
少なくとも新入社員じゃない人 様
の所へ報告されてきたと言うことです。
ID-code:XOOTGUqUwQA
> Received: (qmail 13389 invoked by uid 7791); 21 Jun 2003 04:56:30 -0000
> Received: from unknown (HELO www100.secure.ne.jp) (211.9.202.134)
> by ml2.freeml.com with SMTP; 21 Jun 2003 04:56:30 -0000
> Received: from Jaz (pl813.nas925.o-tokyo.nttpc.ne.jp [210.165.126.45])
> by www100.secure.ne.jp (8.9.3p2+3.2W/3.7Wpl2-03/25/03) with SMTP id NAA27953
> for <gmo-naitei@freeml.com>; Sat, 21 Jun 2003 13:56:27 +0900 (JST)
> Date: Sat, 21 Jun 2003 13:56:27 +0900 (JST)
> Message-Id: <200306210456.NAA27953@www100.secure.ne.jp>
> From: (私のアドレス。何故?!)
> To: gmo-naitei@freeml.com
> Subject: Congratulations
> MIME-Version: 1.0
> Content-Type: multipart/alternative;
> boundary=N47i54lj240bdY
> > --N47i54lj240bdY
> Content-Type: text/html;
> Content-Transfer-Encoding: quoted-printable
> > <HTML><HEAD></HEAD><BODY>
> <iframe src=3Dcid:Y103go645h1 height=3D0 width=3D0>
> </iframe>
> <FONT></FONT></BODY></HTML>
> > --N47i54lj240bdY
> Content-Type: audio/x-wav;
> name=SchedLog.pif
> Content-Transfer-Encoding: base64
> Content-ID: <Y103go645h1>
> > TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
> AAAAAAAA2AAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4g
メール本文のiframeタグを見てみると、開くだけで添付ファイルを自動的に開く仕掛けがされてますね。
Klezなどのウィルスでよく見られる形式です。
おそらく、誰かのPCがウィルスに感染し、HDDの中にあった gmo-naitei@freeml.comというメールアドレス宛に自分自身のコピーを添付して送信する際、From:に"少なくとも新入社員じゃない人"さんのメールアドレスがたまたま書かれたのでしょう。
#この手のウィルスはFrom:や宛先をHDD内のWebキャッシュやアドレス帳などから無作為に取得して設定します。
で、FreeMLのサーバはMLに登録されていないアドレスからのメールと言うことで、「承認が必要」というメールをFrom:宛に自動返送したものと思われます。
感染したPCは、どうやらpl813.nas925.o-tokyo.nttpc.ne.jp [210.165.126.45]から接続したようです。
#見慣れたドメイン名ですね。関係ないと思いますけど(笑
基本的には無視してかまわないと思いますが、同様のメールが再三届くようであれば、NTTPCのabuseに報告し、対処を依頼すると良いでしょう。