| [ 361 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ |
|---|
このサイトの趣旨と反するかもしれませんが、どなたかお力になって頂ければありがたいと思い投稿してみました。
この度投稿させて頂いたのは、メールを送信する際に、私の個人的なメールアドレスを差出人として、別のメールアドレスからメールを送信できるのか?ということです。
今朝方、私の知人に私のメールアドレスから私に成りすました人物(誰かは不明)がメールを送信していたのです。もちろん私には全く覚えの無いことで、メールのヘッダー情報を確認すると確かに送信者(from)は私のメールアドレスとなっていたのです。
また驚く事に、私にも、その知人からメールが届いていたのです。もちろん知人は出した記憶も無く、そのメールヘッダーを確認すると確かにfromは知人のメールアドレスとなっていたのです。
例えばヘッダー情報の操作等可能なのでしょうか?
私はそれほどこういった事情にそれほど詳しくないので、どなたか助言頂ければ幸いです。
追伸:このサイトの趣旨に反するようであれば管理人殿→この投稿は削除 頂いて結構です。
> このサイトの趣旨と反するかもしれませんが、どなたかお力になって頂ければありがたいと思い投稿してみました。
> この度投稿させて頂いたのは、メールを送信する際に、私の個人的なメールアドレスを差出人として、別のメールアドレスからメールを送信できるのか?ということです。
断言します。From偽装と言うやり方で可能です。
Fromは誰でも簡単に(私でも貴方でも)、
メーラー側の設定変更一つで偽装できます。
やり方は教えられませんが、非常に簡単です。
(ISPの設定によっては、偽装と意図せずFrom偽装と同じ形式になる事もあります。)
よって、Fromは無視して下さい。
ヘッダで重視すべきはReceived:の行の記載アドレス、IPです。
(最悪の可能性は、Received:も偽装されている場合があります)
自己From型spamに近いでしょう。
携帯に多いのですが、PCでも散発的に見かけます。
相談内容(内容略)からして、
貴方の知人が送信したものと考えられます。
「知人でPCに詳しい方がいて、何かその方とトラブルがあった」
としたら、その人が送信者の可能性が高いでしょう。
宜しければ、ヘッダを見せてもらえると幸いです。
(但し、自分及び当該知人のアドレスは伏字で構いません)
> 宜しければ、ヘッダを見せてもらえると幸いです。
> (但し、自分及び当該知人のアドレスは伏字で構いません)
早速の返信投稿ありがとうございます。
確かに個人事情が含まれている面があるので、残念ながら別の知人の可能性も否めない状況です。以下が知人から私宛に届いたメールのヘッダー情報です。
とりあえず素人的に伏せなければという所は伏せましたが。。。
あと気になるのが、メールを開くと受信日が 「2003年 1月 23日 木曜日 午前 03:52」となり、一覧表示と変ってきます。
Received: from rcpt-impgw.biglobe.ne.jp by biglobe.ne.jp (RCPT_GW)
id DAA13612; Sat, 23 Mar 2002 03:49:09 +0900 (JST)
Received: from vip ([211.15.39.212])
by rcpt-impgw.biglobe.ne.jp (mnmy/3114200202) with ESMTP id g2MIn9u13609
for <私のメールアドレス>; Sat, 23 Mar 2002 03:49:09 +0900 (JST)
Received: from [192.168.1.167] by vip
(ArGoSoft Mail Server Plus for WinNT/2000, Version 1.61 (1.6.1.9)); Sat, 23 Mar 2002 03:52:13
DATE: 23 03 02 3:52:19
From:知人のメールアドレス
To:私のメールアドレス
Content-Type: text/plain; Charset=iso-2022-jp
Subject: ウ貶・
Message-ID: <b46qasdm87mzfzf.230320020352@vip>
X-UIDL: 799796769650905F793155465F999991785F255
以上ですが、これから何かが漏れると言う場合にはご指摘下さい。
この投稿を修正したいと思いますので。
分かる範囲で助言願います。
> > 宜しければ、ヘッダを見せてもらえると幸いです。
> > (但し、自分及び当該知人のアドレスは伏字で構いません)
> 早速の返信投稿ありがとうございます。
> 確かに個人事情が含まれている面があるので、残念ながら別の知人の可能性も否めない状況です。以下が知人から私宛に届いたメールのヘッダー情報です。
> とりあえず素人的に伏せなければという所は伏せましたが。。。
> あと気になるのが、メールを開くと受信日が 「2003年 1月 23日 木曜日 午前 03:52」となり、一覧表示と変ってきます。
> Received: from rcpt-impgw.biglobe.ne.jp by biglobe.ne.jp (RCPT_GW)
> id DAA13612; Sat, 23 Mar 2002 03:49:09 +0900 (JST)
> Received: from vip ([211.15.39.212])
> by rcpt-impgw.biglobe.ne.jp (mnmy/3114200202) with ESMTP id g2MIn9u13609
> for <私のメールアドレス>; Sat, 23 Mar 2002 03:49:09 +0900 (JST)
> Received: from [192.168.1.167] by vip
> (ArGoSoft Mail Server Plus for WinNT/2000, Version 1.61 (1.6.1.9)); Sat, 23 Mar 2002 03:52:13
> DATE: 23 03 02 3:52:19
> From:知人のメールアドレス
> To:私のメールアドレス
> Content-Type: text/plain; Charset=iso-2022-jp
> Subject: ウ貶・
> Message-ID: <b46qasdm87mzfzf.230320020352@vip>
> X-UIDL: 799796769650905F793155465F999991785F255
>
> 以上ですが、これから何かが漏れると言う場合にはご指摘下さい。
> この投稿を修正したいと思いますので。
>
> 分かる範囲で助言願います。
ヘッダの見方は
http://www2g.biglobe.ne.jp/~stakasa/spam/jiexiheader.html
にもありますが、答えてしまいましょう。
まず分かる事は、貴方がBiglobeユーザーである事と、
(これだけでは身元の特定はできませんので安心して下さい)
送信元がはっきりと残っている事です。
211.15.39.212のIP(これが送信元です)から、
東京の東メタ下流、制御情報株式会社
(http://www.sjk.co.jp/index_pc.html)が、
発信元(回線の大元)であるということ。
また、
>Received: from [192.168.1.167] by vip
> (ArGoSoft Mail Server Plus for WinNT/2000, Version 1.61
から、
同社内LANに接続されたvipというNTマシンから出ていると言う事。
そして、同社のwebmaster@vip.sjk.co.jpと言う、
代表アドレスから推測して、vipというマシンは実在し、
LOGも残っている可能性が高いと言う事が考えられます。
※サーバが不正中継を殆どしないソフトですので、
中継にこの会社が悪用されたわけではなく、
ここから実際に送信されたと見たほうがいいでしょう。
仮に、貴方がこの会社に関わりが少しでもあった場合は、
疑って掛かるべきでしょう。
※私も自営サーバの接続形態、受信メールサーバーが、
この会社と似ているので、推定が容易でした。
参考 whois(IPアロケーション)
検索使用サイト(私の管理サーバです)
http://afelandra.com/~whois/imwhois/im_whois.cgi
==================================================
211.15.39.212
whois.nic.ad.jp
=========================== 2002/03/23 15:55:53 ==
[ JPNIC database provides information on network administration. Its use is ]
[ restricted to network administration purposes. For further information, use ]
[ 'whois -h whois.nic.ad.jp help'. To suppress Japanese output, add '/e' at ]
[ the end of command, e.g. 'whois -h whois.nic.ad.jp xxx/e'. ]
東京めたりっく通信株式会社
(Tokyo Metallic Communications Corp.)
SUBA-345-AAC [サブアロケーション] 211.15.39.0
制御情報株式会社 (SEIGYO JYOHOU KK)
SJKNET [211.15.39.208 <-> 211.15.39.223] 211.15.39.208/28
あまりにも送信者が稚拙な手を使っていたので、
核心を突いてしまいました。
普通はここまでは分からない事が多いです。
(送信元ホストがわかっても、確信がもてるレベルまで至らない事もある)
まずいようでしたら消しますが、高崎様。
> 普通はここまでは分からない事が多いです。
> (送信元ホストがわかっても、確信がもてるレベルまで至らない事もある)
>
> まずいようでしたら消しますが、高崎様。
単なる(?)ウイルス被害ではないかという気もしましたので、
私もあいら樣と同様に取りあえずJPNIC結果を載せてしまうつもりでした。
ウイルス被害なら、単なる過失ですので
それほど(会社の名誉的に)神経質になることもない気がしますし。
取りあえず何かネットワークサービスを顧客に提供している
会社の可能性はないかと社名を検索で調べましたが...
う〜ん、ちょっとよく分からない(^^;;)。
大体筆頭頁からして携帯端末用サイトなんてところがちょっとユニーク?
傘下のユーザがこのIPで出す可能性があるのかもちょっと不明。
まあ、もとの投稿者の方が(相手方と?)問題解決する際に
支障が出るなどの発言があれば、私の方で社名を適宜削除します。
> 例えばヘッダー情報の操作等可能なのでしょうか?
あいら樣が述べて下さっていますが、Fromの詐称は
「ヘッダの偽造」とまで言えないくらい簡単なものです。
インターネットの規格上の問題もあり、現時点では
やむを得ません。
今回の場合、発信場所はあいら樣の書かれているとおりです。
で、それよりもメールの内容について書いていないので若干
気になったのですが、ウイルスメールの中には
感染して他のメールアドレスにもウイルスメールをばらまく場合に
Fromのところを送り先と同様に、パソコンデータの中から
適当に選び出したものを使う場合があります。
つい最近もそういう事例に出あったので
もしかすると悪質なイタズラなどではなく、
ウイルスに感染した上述の会社(?)の被害者兼加害者が
送ってしまったものかもしれません。
現在
http://www.ipa.go.jp/security/topics/newvirus/fbound.html
のウイルスが少し流行っているようですが、タイトルの「ウ」などが
気になるのですけど、ただしこのウイルスが上のような
「アドレス詐称」をするという情報は得られませんでした。
最近出会った事例の場合もこのウイルスではないみたいなんですけど
アドレス詐称をするようなウイルスが少し流行っているのでしょうか?
まあ完全にウイルスだとは断定できませんし、
今回送られたメールの内容が明らかに詐称を利用して
悪いことをするようなもの(互いの仲を悪くするとか
参考:
http://earth.endless.ne.jp/users/stakasa/spam/wforum/wforum.cgi?mode=allread&no=293&page=10
)なら逆にウイルスではないとも言えますが。
あいら殿、管理人殿、色々とご調査下さいありがとうございます。
確かに携帯電話アドレス宛にも自分のメールアドレスからメールが届く事はありますが、記載内容がお互いの個人的(結構タイムリーな事柄)なことまで触れられている点があるのです。
もしウィルス等でこういったメールが届く場合個人事情に関しては限界があるかと思いますが。。。
そうなってくるとお互いの個人事情を知っている人物で、どちらかの身近にいる人物と特定できるのでしょうか?
また、2人しか知らない事に軽く触れられており、かなり人間不信になりそうです。。。
また、私の周りにはお互いを知る人物で上記に記載頂いている会社名と直接関与している者に心当たりが今一つございませんが、やはりヘッダーの操作?等行われているのでしょうか?
上述の会社はADSLサービスを中心に関東圏で展開している会社かと思われますが、一般家庭等からその回線を伝わって送信されたということも考えられますか?
今回多大なお力と助言を頂き大変嬉しく思います。本当に感謝いたします。
どうも、嫌がらせの気配が強いようですね。
言動がそれなりのものであれば、
http://earth.endless.ne.jp/users/stakasa/spam/wforum/wforum.cgi?no=306&reno=303&oya=293&mode=msgview&page=0
この中に記載されている法条文と解説によって、
訴える事も可能です。
> また、私の周りにはお互いを知る人物で上記に記載頂いている会社
>名と直接関与している者に心当たりが今一つございませんが、やはり
>ヘッダーの操作?等行われているのでしょうか?
知らないだけで、記述した会社に出入りしている人間が、
いる可能性もあります。
ヘッダの操作は、From偽装以上の事は成されていないと思います。
Received:ヘッダに関しては偽装は可能ですが難易度が高く、
一般人では不可能でしょう。
(サーバ管理者クラスで、相当のスキルがないと出来ません。)
> 上述の会社はADSLサービスを中心に関東圏で展開している会社かと> 思われますが、一般家庭等からその回線を伝わって送信されたとい
> うことも考えられますか?
99%位の確率で、記述した会社です。
(nanet不正中継テストにも放り込んでみましたが無反応でした。)
後の1%は高度なクラッキング(ハックでは有りません)技術を持った人間が行った場合に、
外部からの不正中継がありえます。
参考までに。
度々質問ばかりで申し訳ありません。
また少し質問なのですが、こういった迷惑行為を請け負うような業者のようなところはあるのでしょうか?
まだ、誰に狙われたのか、自分自身もわからないのですが。。。
本日は個人的な事情により、もうレスすることができませんが、大変助かりました。
こういった事が自分の身に起こって、インターネットで検索をかけて探し当てたサイトですが、巡り合えてよかったです。
また追加で質問させて頂くかもしれませんが、その際には宜しくお願いします。
> また少し質問なのですが、こういった迷惑行為を請け負うような
> 業者のようなところはあるのでしょうか?
> まだ、誰に狙われたのか、自分自身もわからないのですが。。。
取りあえず私は聞いたことないですが...
まあ世の中にはいくらでもわけわからん商売がありますし、
そもそも頼むにせよ、自らするにせよ、
犯罪レベルのイヤガラセ、迷惑行為をするような人間も
わけわからん部分があるのでなんともいえません。
以下は373番の文章を直し損なってしまったものですが...
浮気云々は「身近な人に狙われるとパスワードなど関係ない」という例ですが、
逆のケースとしてはよし樣と知人のお二人方にほとんど関係のなかった人が、
たまたまどちらかのメールを盜み読み出来るようになった
(IDとパスワードを知ってしまった)のを機会に
二人の間のやり取りを盗み読みよむようになり、
今回とうとうイタズラをし始めたという可能性もあるわけで
そのような場合はまさしく犯人の見当のつけようもありません。
電子メールでは封書などと違って葉書と同じですから
他の人が日常的に盗み読んでいても気がつくものではありません。
私などは周りでそういうことに実際あったことはないですが、
電子メールではIDとパスワードさえ知っていれば
日常的にその人のメールのやり取りを読むことができてしまい、
いろいろ知ることが出来てしまうのですから、
コワイと言えばコワイですよね。
葉書でのやり取りの場合には、たとえ葉書であっても
受け手のポストに投函されたものを日常的に、しかも
ばれないように盗み読むことはそれなりにかなり大変ですが、
ネットメールではどんなに離れた場所の人でもIDパスワードさえ
知られてしまうと、それが出来てしまいます。
そのような理由で「パスワードは日常的に変えましょう」
と言われるわけですね。
うむ、事故ではなく事件となると少し厄介ですね。
> > 上述の会社はADSLサービスを中心に関東圏で展開している会社かと
> > 思われますが、一般家庭等からその回線を伝わって送信されたとい
> > うことも考えられますか?
>
> 99%位の確率で、記述した会社です。
> (nanet不正中継テストにも放り込んでみましたが無反応でした。)
> 後の1%は高度なクラッキング(ハックでは有りません)技術を
> 持った人間が行った場合に、
> 外部からの不正中継がありえます。
ええっと、勘違いされそうなので述べておきますが、
よし樣が言っているのは「東京めたりっく」のことではありませんか?
あいら氏が前の投稿で
> 211.15.39.212のIP(これが送信元です)から、
> 東京の東メタ下流、制御情報株式会社
> (http://www.sjk.co.jp/index_pc.html)が、
> 発信元(回線の大元)であるということ。
と述べているのは、
東京めたりっくが上流、制御情報株式会社が下流ということです。
分かり易く言うと、制御情報株式会社というところは
東京めたりっくさんのサービスを受けて自らのネット事業をしており、
問題のメールはそこを通じて出されていると言うことです。
この場合、単純に考えれば
1・制御情報株式会社さんの会社の中に容疑者がいる
2・制御情報株式会社のサービスを利用している顧客の中に
容疑者がいる
の2通りが考えられます。
で、あいら氏がサイトを紹介しているように、
「制御情報株式会社」というところがあるんですけれども
この実体が少しよく分からないのですが、
携帯端末で、パソコン用のサイトや受信メールを読むための
サービスを提供している会社のようです。
で重要なのは読むためではなくて送ることも出来るサービスも
提供している場合、2番の可能性が大きくなります。
すなわちそのサービスを利用している顧客が
そのメールシステムを通して、制御情報株式会社の全く知らぬ所で
よし樣らに問題のメールを送ってきたという可能性です。
その会社のサイトを見る限り、「拡張機能」とやらでそのような
(つまりメールを送信する、あるいは送信を中継する)サービスを
提供しているとも読めるし、していないようでもあるし、
よく分かりません
もっとも、そこが本当にどれくらいきちんとした会社なのかも不明です。
「株式会社」なのなら、もう少しgoogleなどの
検索にひっかかって良さそうですが
どうも上のようなサービス提供に関してだけしか検索結果で
出てきません。
ということで、これ以降の対応ですが、
1■御自分で「制御情報株式会社」のサイトをよく調べ、
メール送信あるいは中継のサービスをやっていそうか確認する。
その上でそこの会社を信頼できると判断したら、このサイトの主
(つまり制御情報株式会社の人)にメールを送り、
自分の状況を伝えて相談する。
2■上のような判断がつかず、行動に迷うのだったら、そうですね、
http://www.web110.com/
http://www02.u-page.so-net.ne.jp/ya2/njkson/higai.html
の二つのサイトの方がこういう嫌がらせのような相談を受けるのに
慣れていると思いますので、
過去ログなどをある程度参照した上でそちらに相談すると良いでしょう。
その際にはこのスレッド
http://earth.endless.ne.jp/users/stakasa/spam/wforum/wforum.cgi?mode=allread&no=361&page=0
を明示してここでのやり取りの流れをすぐに理解して貰えるように
したら良いと思います。
#なんか他のサイトに押しつけるようで恐縮ですが、まあ
#当サイトで得意(?)なのはあくまでスパムですので。
3■上の1,2を取る前に、もう少し様子を見るというのをお勧めします。
今回のことが起こったのは今朝ということですので、受け取ったメールは
数通だと思います。
また知人の方との間で、話からすると別にきちんと連絡がとれているわけで
その知人との間で誤解が生じているのでもないと思います。
場合によっては嫌がらせに発展するようなこのような事例では
あまりに過敏に反応すると、
犯人の行動を煽り立ててしまう場合もあるようです。
その為には最初は無視して、慎重になされることをお勧めします。
ただし今後のその知人とのメールやり取りでは、
本当にその知人が出してきたものかを確認するようにしましょう。
私のサイトの
spam対応初心者用メールヘッダ解析講座
http://www2g.biglobe.ne.jp/~stakasa/spam/jiexiheader.html
を読んで理解していただけば
本当にその知人が本来のメールシステムを使って出してきたのか、
今回のようにわけの分からぬところを経て出してきているのか
(=本当に知人が出したものではない)
ある程度分かると思います。
場合によってはその知人との間で新たにメールを書く際の
特別な約束をしておくのも手でしょう。
> また、2人しか知らない事に軽く触れられており、かなり人間不信になりそうです。。。
こういうことが起こるとそういうお気持ちになるのは
もっともなことです。
不安を煽り立てたくはないですが、その知人とよし樣とのやり取りが
メールを中心にしているのなら、
上のような「2人しかしらないのに...」というようなことが
頻発するようならば、
よし樣や知人のメールがなんらかの方法で盜み読みされている危険もあります。
取りあえず手近なところでは、
メールを読み出すためのパスワードなどを変更されることを
お勧めします。もちろん、盜み読みにはいろいろな方法が考えられ、
ありがちな事例に
「夫(妻)が浮気を疑って携帯のメールなどをいつも勝手に読む」
で
「浮気を知った(あるいはそうだと思いこみをした)夫(妻)が
関係者に嫌がらせのメール」
とかもありますので、
パスワード変更で済む話ではない場合もありますが
取りあえずはという話です。
#浮気云々はあくまで例ですからね!!