過去ログに似たような体験をされている方を見つけましたが、うちに来
たのはいまのところエラーのメールだけで、そこにはIPアドレスが書い
てありません。中継業者がどれなのか、私にはわからず、ちょっと困っ
ております。本文中に書かれたホームページのアドレスは、犯人本人か
もしれませんし。どこに告発したらいいものでしょうか。

下に、配達できなかったとされている本文を、ヘッダから写しました
。

同じような不達通知があと2通来ておりまして、それは、メールの受取
人のドメインがyahoo.comばかりのもの、yahoo.comと他のドメインの人
たちが混ざったものでした。

外国からのスパムがだんだん増えてきて、最近は自分から自分あてに
なっているスパムも来始め、嫌な感じ、と思いつつも、黙々とごみ箱へ
捨てていましたが、こんなのは初めてで、びっくりです。

書かれているホームページを見に行くのも、removeのところへメール
を書くのも気が引けるので、ご相談させていただきました。

Message-ID: <0000705b5df5$0000292e$0000242b＠yahoo.com>
From: xxx＠xxx.or.jp　[私のアドレスを無断で使用した箇所]
Reply-To: xxx＠xxx.or.jp [ここも。]
To: amyht＠mindspring.com, ljmnash＠mindspring.com, h20crft＠mi
ndspring.com,
johngetz＠mindspring.com, jweredskin＠mindspring.com,
twistedee＠mindspring.com, kakins＠mindspring.com
Subject: See Into Anyone Computer DSNI
Date: Thu, 14 Nov 2002 16:05:31 -0500
MIME-Version: 1.0
X-Mailer: Internet Mail Service (5.5.1960.3)
X-MS-Embedded-Report:
Content-Type: text/plain

See Into Anyone's Computer Remotely

Click here for more information or go to
http://200.46.156.20/spy/index.html

To to be remove email us at inremove＠yahoo.com

> 過去ログに似たような体験をされている方を見つけましたが、うちに来
> たのはいまのところエラーのメールだけで、そこにはIPアドレスが書い
> てありません。中継業者がどれなのか、私にはわからず、ちょっと困っ
> ております。本文中に書かれたホームページのアドレスは、犯人本人か
> もしれませんし。どこに告発したらいいものでしょうか。

ええっと、100％とは言えないのですが
「大抵」エラーメールの本文には、スパム自身のヘッダすなわち
Received：from
などを頭とする行の中身になっていると思います。
ただ100％とは言えないようで一通だったらない場合もあるかもしれませんが
３通ともそういう中身がないというのは確率が極めて低いと
思うのですが、もう一度確認して頂けますか？

．．．．．．．．と思ったのですが、立て続けに別な方も
同じスパムの報告をしていますね。
http://earth.endless.ne.jp/users/stakasa/spam/wforum/wforum.cgi?mode=allread&no=5680&page=0

あきらかに同じスパムのようです。

．．．．う〜む、即断は出来ませんがもしかすると
冤罪ではないかもしれません。
すなわち実はスパムを送りたい相手をFromに入れて、
それを届かないメールアドレスに送り、
そのエラーメールを受け取らせる、エラーメールには本文も
ついているので、結局スパムを受け取らせることと同じ、
（しかも冤罪だと思わせて注目を浴びる？）
．．．という凝った手法を聞いたことがあります。

　いやもっと単純かな？

　お二方とも、今一度、

−−−
１．受け取ったエラーメールの「本文」に、いずれも本当に
Received：from
の入っているヘッダが入っていないか、を確認

２．で、入っていなければどちらの方でも良いですので
今度は「エラーメール自体のヘッダ」を、御自分関係の
所は伏せて構いませんので載せていただけますか？
−−−

　ややこしですが、いつもは冤罪の場合、
http://earth.endless.ne.jp/users/stakasa/spam/yuanzui/laji-yuanzui.html#yuanzui050201
で強調するように、エラーメールの「本文」の中に記された
もとのスパムのヘッダを頼むのですが、
今回はお二方ともそれが分かっているようで、
それに関してはIPがないことが分かりましたので
今度は
「エラーメール自身のヘッダ」
が見たいです。

　情報お願いします。ややこしいですけど。

> ．．．．う〜む、即断は出来ませんがもしかすると
> 冤罪ではないかもしれません。
> すなわち実はスパムを送りたい相手をFromに入れて、
> それを届かないメールアドレスに送り、
> そのエラーメールを受け取らせる、エラーメールには本文も
> ついているので、結局スパムを受け取らせることと同じ、
> （しかも冤罪だと思わせて注目を浴びる？）
> ．．．という凝った手法を聞いたことがあります。
>
> 　いやもっと単純かな？

もっと単純な可能性として、単に本文が
エラーメールであるかのように見せかけて
実はただのメールとか。

　大量送信の際に、送り先ごとに中身を変えるメールは
比較的ツールを使えば簡単に送れます。
それであたかも各人にエラーメールが届いたかのように
見せかけている可能性があります。

　それを見抜くにはエラーメール自身のヘッダがやはり
見たいです。

　これらはあくまで可能性ですので、要は
受け取ったメール（エラーにせよそうでないにせよ）の
ヘッダと本文の全体を見る必要があります。

もたもた、投稿に失敗している間に、下に書き込みが（汗
どうも、スパイウエアを配布していたようです

管理人様，

お世話になります。
http://earth.endless.ne.jp/users/stakasa/spam/wforum/wforum.cgi?mode=allread&no=5680&page=0 の投稿主，いけだです。

> あきらかに同じスパムのようです。

一体全体さんの投稿と，まったく同一でした。
うちも，一体全体さんと同じく，最初はエラーメールだけがきて（うちは３通），
そのしばらく後に，時間が半日ほど進んだタイムスタンプを持つほんとのSPAM（？）が来ました。

> 　お二方とも、今一度、
>
> −−−
> １．受け取ったエラーメールの「本文」に、いずれも本当に
> Received：from
> の入っているヘッダが入っていないか、を確認
>
> ２．で、入っていなければどちらの方でも良いですので
> 今度は「エラーメール自体のヘッダ」を、御自分関係の
> 所は伏せて構いませんので載せていただけますか？
> −−−

↓私のところに来たエラーメールです。（長いですがヘッダ＆本文。）
＃３通あったので，別スレで投稿したのとは，びみょーに違うかもしれません。
「送れなかった」とされるメールそのものは，添付ファイルになってましたが，
開いてもこれと同じものが出てくるだけでした。

-----header------------------------------------------------
Return-Path: <> ＃元々空白でした。
Received: from ntserver1.castone.com (ml-client65-164-234-129.microlnk.com [65.164.234.129])
by ***.freeserve.ne.jp (8.9.3/3.7W) with ESMTP id OAA06897
for <<私のアドレス>＠***.freeserve.ne.jp>; Thu, 14 Nov 2002 14:59:54 +0900
Received: by NTSERVER1 with Internet Mail Service (5.5.2650.21)
id <WS25HB8X>; Wed, 13 Nov 2002 23:53:34 -0600
Message-ID: <2BAE2DB9B3ADD311AC360090276A9572A2C297＠NTSERVER1>
From: System Administrator <postmaster＠castone.com>
To: <私のアドレス>＠***.freeserve.ne.jp
Subject: Undeliverable: See Into Anyone Computer
Date: Wed, 13 Nov 2002 23:53:33 -0600
MIME-Version: 1.0
X-Mailer: Internet Mail Service (5.5.2650.21)
X-MS-Embedded-Report:
Content-Type: multipart/mixed;
boundary="----_=_NextPart_000_01C28BA2.2ABFC46E"
X-UIDL: TT]!!j%o"!;8R"!8>[!!
Status: U
X-EdMax-Attachment-File: 20021114_162325_zi3hi1\Attach$_01.eml,
X-EdMax-Status: 0
Content-Type: text/plain;
charset="iso-8859-1"
-----end of header------------------------------------------

-----message------------------------------------------------
Your message

To: <知らない人>＠earthlink.net; <知らない人>＠excite.com; <知らない人>＠earthlink.net;
<知らない人>＠mindspring.com; <知らない人>＠gateway.net; <知らない人>＠mindspring.com
Subject: See Into Anyone Computer
Sent: Thu, 14 Nov 2002 11:57:39 -0600

did not reach the following recipient(s):

<知らない人>＠earthlink.net on Wed, 13 Nov 2002 23:53:31 -0600
The recipient name is not recognized
The MTS-ID of the original message is: c=US;a=
;p=THUNDERSTONE;l=NTSERVER10211140553WS25HB8R
MSEXCH:IMS:THUNDERSTONE:NTSERVER1:NTSERVER1 0 (000C05A6) Unknown
Recipient
<知らない人>＠earthlink.net on Wed, 13 Nov 2002 23:53:31 -0600
The recipient name is not recognized
The MTS-ID of the original message is: c=US;a=
;p=THUNDERSTONE;l=NTSERVER10211140553WS25HB8R
MSEXCH:IMS:THUNDERSTONE:NTSERVER1:NTSERVER1 0 (000C05A6) Unknown
Recipient
<知らない人>＠excite.com on Wed, 13 Nov 2002 23:53:31 -0600
The recipient name is not recognized
The MTS-ID of the original message is: c=US;a=
;p=THUNDERSTONE;l=NTSERVER10211140553WS25HB8R
MSEXCH:IMS:THUNDERSTONE:NTSERVER1:NTSERVER1 0 (000C05A6) Unknown
Recipient
<知らない人>＠mindspring.com on Wed, 13 Nov 2002 23:53:31 -0600
The recipient name is not recognized
The MTS-ID of the original message is: c=US;a=
;p=THUNDERSTONE;l=NTSERVER10211140553WS25HB8R
MSEXCH:IMS:THUNDERSTONE:NTSERVER1:NTSERVER1 0 (000C05A6) Unknown
Recipient
<知らない人>＠mindspring.com on Wed, 13 Nov 2002 23:53:31 -0600
The recipient name is not recognized
The MTS-ID of the original message is: c=US;a=
;p=THUNDERSTONE;l=NTSERVER10211140553WS25HB8R
MSEXCH:IMS:THUNDERSTONE:NTSERVER1:NTSERVER1 0 (000C05A6) Unknown
Recipient
<知らない人>＠gateway.net on Wed, 13 Nov 2002 23:53:31 -0600
The recipient name is not recognized
The MTS-ID of the original message is: c=US;a=
;p=THUNDERSTONE;l=NTSERVER10211140553WS25HB8R
MSEXCH:IMS:THUNDERSTONE:NTSERVER1:NTSERVER1 0 (000C05A6) Unknown
Recipient
-----end of message-----------------------------------------

……エラーメール（らしきもの）は以上です。

　情報提供有り難うございます。おそらく「偽エラーメール」ですね。

> Return-Path: <> ＃元々空白でした。
> Received: from ntserver1.castone.com (ml-client65-164-234-129.microlnk.com [65.164.234.129])

送信者の「自称」サーバ↑↑↑　　この後のIPアドレスから逆引きしたもの↑　　　　　　↑送信者側のIPアドレス（唯一信頼可能）

　ここで、通常は逆引きと自称サーバが一致せねばなりません。
仮に、自称サーバと逆引き結果が上流下流の関係だったとしても
自称サーバの

「す〜ぱ〜もの」
http://afelandra.com/~stakasa/cgi-bin/spamclaim-search.cgi?domain=castone.com

の結果を見て分かるように、その割り当てIPは
209.50.18.61
とかであり、実際のサーバと一致しません。

　つまり、実際には

http://afelandra.com/~stakasa/cgi-bin/proxy.cgi?query=65.164.234.129&targetnic=auto

というネット業者を使いながら、あたかも


> 	by ***.freeserve.ne.jp (8.9.3/3.7W) with ESMTP id OAA06897
> 	for <<私のアドレス>＠***.freeserve.ne.jp>; Thu, 14 Nov 2002 14:59:54 +0900
> Received: by NTSERVER1 with Internet Mail Service (5.5.2650.21)
> 	id <WS25HB8X>; Wed, 13 Nov 2002 23:53:34 -0600
> Message-ID: <2BAE2DB9B3ADD311AC360090276A9572A2C297＠NTSERVER1>
> From: System Administrator <postmaster＠castone.com>

castone.comというサーバから送られてきたように見せかけた
「スパムの偽エラーメール」
ですね。

　当方のウイルス対策ソフトでは反応しませんでしたが、
リンク先は怪しげという報告が上がっているのでいずれにせよ、
クリックは避けるべきです。

　もし対処をするなら、エラーメールではなく、
通常のスパムと同様に、上のヘッダを

http://earth.endless.ne.jp/users/stakasa/tools/hdpar-fr.html

に張り付けた結果から苦情先を探して．．．というか
さっきあげた
http://afelandra.com/~stakasa/cgi-bin/proxy.cgi?query=65.164.234.129&targetnic=auto
ですが、そこに送るべきでしょう。

　まあでもややこしいスパムなので無視してしまって良いでしょう。
冤罪も多分、心配しなくて大丈夫だと思います。
複数通来たのはスパマーが複数通、それぞれに送っていかにも
エラーにみせかけたのかもしれません。

　一応、しばらくエラーメールの増加量などに注意しておいて頂きたいですが
おそらく大丈夫だと思います。

> castone.comというサーバから送られてきたように見せかけた
> 「スパムの偽エラーメール」
> ですね。

　しかも、本文見たら

>> To: <知らない人>＠earthlink.net; <知らない人>＠excite.com; <知らない人>＠earthlink.net;
>> <知らない人>＠mindspring.com; <知らない人>＠gateway.net; <知らない人>＠mindspring.com
>> Subject: See Into Anyone Computer

なわけですけど、エラーを返すのは、「送られた」サーバが一般
（まあそうでない場合もあるけど）
なのですが、送ってきたサーバも、自称サーバも、そうでないですね。
つまりearthlink.netとか＠excite.comとかから来ないといけないのに
そうでないわけです。

　偽エラーメールに間違いないでしょうね、多分。

管理人様，

すぱすぱーっとご解析をありがとうございました。
サーバが一致していないことに気づくべきでした。
さらに，undeliveredのくせに，届かなかった相手のサーバ（earthlink.netなど）から
送られてきたメールじゃないじゃないですか！
……そんなことにも気づきませんでした。
（中にはこういう形式のundeliveredもあるのかなー，程度に思ってしまいました。）

しばらく後で同じSubjectのUndeliveredではないものを受け取った時に
とりあえず「何だこれは？」→「そうだ，SPAMCOPにかけよう」→「Receivedがないから解析不能？」
……という次第で，ここに駈け込んでしまいました。

ほんとに，「早く気づけよ」という類のことでしたね。
お騒がせして申し訳なかったです。

> 　一応、しばらくエラーメールの増加量などに注意しておいて頂きたいですが
> おそらく大丈夫だと思います。

はい，２〜３日，エラーメールが増加するかどうか見てみます。
その頃にまた，経過報告にうかがいたいと思います。
よろしくお願いします。

皆さまどうもありがとうございました。お返事が遅れてすみません。

まず、うちに来た「偽」エラーメール3通も、みな同じようなことにな
っているようです。3通の、一番上のReceivedだけ抜いてみます。ご丁
寧に、3通とも、そしていけださんのも、みんな違うサーバから来てい
るみたいですね。

しかし、とりあえず、心配なことはなさそうなので安心しました。エ
ラーメール自体に他にもいろいろおかしいところがあるとは、気づきま
せんでした。普段そんなにエラーメールをしげしげと見ないもので...

---以下、ヘッダです。

Received: from Focus-Services.focus-services.focusgrp.com (wast
ewaterutility.egl.net.7.163.208.in-addr.arpa [208.163.7.206] (ma
y be forged)) by **.***.or.jp (8.9.3/3.7W-***) with ESMTP id SAA
26665 for <***＠***.or.jp>; Thu, 14 Nov 2002 18:05:41 +090
0 (JST)
---------
Received: from lvlexchg.eticomm.net (h-66-134-133-250.PHLAPAFG.
covad.net [66.134.133.250]) by **.***.or.jp (8.9.3/3.7W-***) wit
h ESMTP id PAA20066 for <***＠***.or.jp>; Thu, 14 Nov 2002
15:02:42 +0900 (JST)
---------
Received: from exserver.daleneflooring.com (host-216-153-212-16
2.spr.choiceone.net [216.153.212.162]) by **.***.or.jp (8.9.3/3.
7W-***) with ESMTP id OAA20686 for <***＠***.or.jp>; Thu,
14 Nov 2002 14:13:33 +0900 (JST)

一体全体様

ご挨拶もしていないのに，
スレッドを乗っ取ってしまったようなことになってしまって……恐縮です。

いけだ様

とんでもないです。ちょっと前のスレッドをちゃんと見てなくて、失
礼いたしました。おかげさまでわけがわかって、すっきりしました。と
いってもスパムは腹が立ちますが。

他にも、同じ被害を受けた人がいらっしゃるようで、心強いような、
空恐ろしいような。

一体全体様

私も一体全体様のメッセージを見て，
「同じゴミをもらって悩んでいる人がいる！（しかも外国から）」と思って，
嬉しいような悲しいような，そんな気持ちがしました。

ほかにも今日パニックになった人ってたくさんいるんでしょうね……SPAMっていやですね。

帰宅してメール見てみたら、うちにも同じものが届いていました。
確かにエラーメールを装ったSPAMですね。

実際のエラーをコピペしなのかもしれないが、国内ではあまりなじみのない書式なので
うさんくささがプンプン臭う。比較的わかりやすいです。

一体全体さん、あと他のスレッドのいけださん、こんばんわ。一応こちらへ
レスをつけておきますね。

メールヘッダーについては他の人が詳しいので
ＵＲＬ先の検索方法についてだけ紹介しておこうと思います。

度胸一発クリックすればわかるのですがそうもいきませんね？
飛んだ先がブラウザが無限に広がったり、閉じても閉じても新しい窓が
開く仕掛けがあるかもしれません。

で、http://で始まるＵＲＬの最初に
view-source:をつけます。view-source:http://って言う感じです。

そうするとブラウザで開かずに「ＨＴＭＬの記述」を見ることが出来ます。
怪しげな構文があったら閲覧を避けましょう。

でも、ＨＴＭＬなんか判らない（私もですが）な人にはこちら
http://www4.ocn.ne.jp/~taganash/benri.html

ＵＲＬを貼り付けるとブラウザクラッシュが仕込まれているかチェックしたり
色々な方法で閲覧することが出来ます。
（でも保証は出来ません、自己責任で使用して下さい）

で、http://200.46.156.20/spy/index.html
ですが、すでに消されているようですね。404でした。

> で、http://200.46.156.20/spy/index.html
> ですが、すでに消されているようですね。404でした。

http://200.46.156.20/
http://200.46.156.20/spy/index.html

うえのＵＲＬをみてきましたが、いずれも偽装っぽいですね。

ＪＳ、ActiveXをきって覗いてきましたが、やたらと
スクリプトが書かれてましたよ。危険なものかどうか、
まだチェックしてませんが。

> http://200.46.156.20/
> http://200.46.156.20/spy/index.html
>
> うえのＵＲＬをみてきましたが、いずれも偽装っぽいですね。
>
> ＪＳ、ActiveXをきって覗いてきましたが、やたらと
> スクリプトが書かれてましたよ。危険なものかどうか、
> まだチェックしてませんが。

身構えてチェックにいったので、Javaスクリプトをみて偽装かと
思ってしまいましたが、サーバが宣伝などを挿入するために自動的
に挿入するスクリプトなのかもしれません。

下のスレッドに、俺のサイトに知らない間に（今回と似た）スクリプト
があったという相談がのってました。

Re: OT - Scripts on my webpages
http://cert.uni-stuttgart.de/archive/usenet/alt.computer.security/2002/04/msg00932.html

きょうへい様

> 下のスレッドに、俺のサイトに知らない間に（今回と似た）スクリプト
> があったという相談がのってました。
>
> Re: OT - Scripts on my webpages
> http://cert.uni-stuttgart.de/archive/usenet/alt.computer.security/2002/04/msg00932.html

↑，見てみました。
が，私はスクリプトはサッパリ読めないので，どんな内容なのかわからず……。
いずれにせよ，例のアドレスにあったものが何なのかは
教えてくださったスレッドを追っていればわかるかもしれないので，
追いかけてみます。ありがとうございました。

>> > うえのＵＲＬをみてきましたが、いずれも偽装っぽいですね。
完全に偽装ですね

> > ＪＳ、ActiveXをきって覗いてきましたが、やたらと
> > スクリプトが書かれてましたよ。危険なものかどうか、
> > まだチェックしてませんが。
スクリプト自体はまだ動いていないように見えますが
危険なものでは、ないようです・・？
フランスのDocURL.comとＭＳから広告を表示させる物のように
思いますが、どうですかね、最近はバナ−に仕掛けたスパイウェアが
問題になっているので、アクセスは注意してくださいよ

> 身構えてチェックにいったので、Javaスクリプトをみて偽装かと
> 思ってしまいましたが、サーバが宣伝などを挿入するために自動的
> に挿入するスクリプトなのかもしれません。

が、問題は、アクセスした者の、デ−タを取っていることですが
まあ、それも行き過ぎたものでは無いようにも思えますが
よく見てないのですが、通常のアクセスログ程度ではないでしょうか
ペ−ジが動き出したらどうなるかですね
製作者は、日本人かな　？

＃ＤＬＬをおいてあるみたいですが、落としに失敗しました（汗

> > 身構えてチェックにいったので、Javaスクリプトをみて偽装かと
> > 思ってしまいましたが、サーバが宣伝などを挿入するために自動的
> > に挿入するスクリプトなのかもしれません。
>
> が、問題は、アクセスした者の、デ−タを取っていることですが
> まあ、それも行き過ぎたものでは無いようにも思えますが
> よく見てないのですが、通常のアクセスログ程度ではないでしょうか
> ペ−ジが動き出したらどうなるかですね
> 製作者は、日本人かな　？

あれとほぼ同じJSがメール広告社のサイトにもあるようなんだが。

まあ、取りあえず私のサイトの掲示板に貼り付けて置きました
http://cgi.members.interq.or.jp/red/tatifuro/bbs/wforum.cgi?

問題の？ページを見てみましたが、偽装ではないと思いますよ。
書かれているスクリプトはIISのエラーページに元々あるものです。

このページの JavaScript中には
Homepage()
HtmlEncode()
TagAttrib()
PrintTag()
URI()
InsertElementAnchor()

という6つの関数が定義されています。

この中でメインの関数は　Homepage() という関数で、
ページ中に　200.46.156.20　へのリンクがありますが、このリンクアンカー自体
を作成表示しているのがこの関数です。
その他の関数は、このメイン関数の部品となっているもので、たとえば
HtmlEncode() は、渡された文字列中のタグ文字の変換を行っているものです。

ソースをみて、先頭にかたまってあるスクリプトが気になってましたが、
よく考えてみると、Proxomitron関係だったのかもしれません。

スパマーのサイトをチェックする際には、Proxomitronを通して危険を
回避するようにしてます。

> ソースをみて、先頭にかたまってあるスクリプトが気になってましたが、
> よく考えてみると、Proxomitron関係だったのかもしれません。
>
> スパマーのサイトをチェックする際には、Proxomitronを通して危険を
> 回避するようにしてます。
ウ〜ム、・・・
自サイトの掲示板に貼り付けて、じっくり見たら
汗が出てきた、落とす相手は自分のパソの中にあった
＃一寸、裏庭に穴でも掘ります、明るくなったら

私の所にも全く同じスパムメールのUndeliverableメッセージが7通も来ていて、焦って検索していたらこのページに漂着しました。
最近自分のアドレスが差出人になっているスパムが来たりしていて警戒中でした。偽装ではないかとのことで、ほっとしました。ありがとうございます。
以下にプロパティーを載せておきます。タイプ2種類のうちの一種類です。本文にわざわざアドレスが書いてありますが、これ宛に英文の罵倒メールなんて送らない方がいいですよね。やはり・・・。
Return-Path: <MAILER-DAEMON＠＊＊＊＊＊.ne.jp>
Received: from ＊＊＊＊＊ne.jp (＊＊＊＊＊ne.jp [＊＊＊＊＊])
by ＊＊＊＊ne.jp with ESMTP id gAE85Z218124
for <＊＊＊＊＊.ne.jp>; Thu, 14 Nov 2002 17:05:35 +0900 (JST)
Received: from ltcnt.landtransferco.com (UNUSED-205-238-192-73.UNUSED.EPIX.NET [********])
by ＊＊＊＊ne.jp with ESMTP id gAE85YI05863
for <＊＊＊＊＊＊ne.jp>; Thu, 14 Nov 2002 17:05:34 +0900 (JST)
Received: by LTCNT with Internet Mail Service (5.5.2448.0)
id <W2HTWJXN>; Thu, 14 Nov 2002 03:05:33 -0500
Message-ID: <ADEC13E14D09D31182480008C7DF66CAE38D39＠LTCNT>
From: System Administrator <postmaster＠landtransferco.com>
To: ＊＊＊＊＊＊ne.jp
Subject: Undeliverable: See Into Anyone Computer
Date: Thu, 14 Nov 2002 03:05:32 -0500
MIME-Version: 1.0
X-Mailer: Internet Mail Service (5.5.2448.0)
X-MS-Embedded-Report:
Content-Type: multipart/mixed;
boundary="----_=_NextPart_000_01C28BB4.9AEA6C46"
X-UIDL: 3-:"!YW=!!E[`"!^gp!!

本文は
See Into Anyone's Computer Remotely

Click <http://200.46.156.21> here for more information or go to
http://200.46.156.20/spy/index.html

To to be remove email us at inremove＠yahoo.com

ご教示ありがとうございました。
やってみましたが、使っているブラウザでは、そのプロトコルはサポ
ートしていない、というようなメッセージが出て、だめでした。

でも、そのうち役に立つときがきっと来るような気がしております。
今回は、皆さんが見てくださっているし、もう404だったということで
すし、ちょっとこわいし、深入りはやめておきます。

管理人様，桑木野様，まる様，きょうへい様

アドヴァイスをありがとうございます。

＞ 管理人様，
エラーメール（らしきもの）のヘッダは
http://earth.endless.ne.jp/users/stakasa/spam/wforum/wforum.cgi?no=5689&reno=5683&oya=5681&mode=msgview&page=0
にポストしておきました。よろしくお願い致します。

＞ 桑木野様，まる様，きょうへい様
はじめまして。よろしくお願いします。
問題のサイトの調査，閲覧方法の助言などありがとうございました。
ブラクラもあるしウィルスもあるし，やはり自分でクリックしてみるだけの勇気がなく，
view-source:も試みたんですがまったく反応がなく，困っていました。
＃反応がなかったのは，最近私のPCの調子がイマイチ良くないせいかもしれません。（メモリが足らないのです。）

私の場合，根本的には，
「私のアドレスを騙って変なメールが行ってるのは気持ち悪い」ということなのですが，
この一連の「私からのメール」，
「undeliveredを装ったSPAM」が３通と，同じ内容の「（普通のメールを装った）普通のSPAM」２通，
という可能性もあるわけですよね。

なお，同じ内容のメールが５通届いています。
情報的には何の価値もないものかもしれませんが（ごめんなさい，判断ができなくて）
一応，それぞれのSubjectとそこから読み取ったことを書いておきます。
・undeliveredの１＝Undeliverable: See Into Anyone Computer MGRMIEWT
・undeliveredの２＝Undeliverable: See Into Anyone Computer
・undeliveredの３＝Undeliverable: See Into Anyone Computer YZW
・undeliveredではない４＝See Into Anyone Computer
・undeliveredではない５＝See Into Anyone Computer YZW

このメール本文が送られたとされている宛て先（知らない人たち）は，５と３が同じ，４と２が同じです。
５と３，４と２はそれぞれSubjectも一致します。
ということは，「５がundeliveredになりました」→「３」，「４が以下同文」→２ということでしょうか。
そうすると，１の元メール（？）がない（不達通知のみ）になってしまうのですが……。

謎が深まってしまいました。

> なお，同じ内容のメールが５通届いています。
> 情報的には何の価値もないものかもしれませんが（ごめんなさい，判断ができなくて）
> 一応，それぞれのSubjectとそこから読み取ったことを書いておきます。
> ・undeliveredの１＝Undeliverable: See Into Anyone Computer MGRMI
> EWT
> ・undeliveredの２＝Undeliverable: See Into Anyone Computer
> ・undeliveredの３＝Undeliverable: See Into Anyone Computer YZW
> ・undeliveredではない４＝
> See Into Anyone Computer
> ・undeliveredではない５＝See Into Anyone Computer YZW
>
> このメール本文が送られたとされている宛て先（知らない人たち）は，５と３が同じ，４と２が同じです。
> ５と３，４と２はそれぞれSubjectも一致します。
> ということは，「５がundeliveredになりました」→「３」，「４が以下同文」→２ということでしょうか。
> そうすると，１の元メール（？）がない（不達通知のみ）になってしまうのですが……。

　いや、そもそも恐らく「不達メール」自体が本当の
「不達メール」（エラーメール）ではないのです。
今回の受信者のところには「不達メール」なんて届いていないんですよ。
不達にみせかけたメールが届いているだけです。
　多分ですけどね。

既に書いたように

> 大量送信の際に、送り先ごとに中身を変えるメールは
> 比較的ツールを使えば簡単に送れます。
> それであたかも各人にエラーメールが届いたかのように
> 見せかけている可能性があります。

ということですので、
「一体全体」様の所には本文に

（１）
｜From: xxx＠xxx.or.jp　[←一体全体様のアドレス]
｜Reply-To: xxx＠xxx.or.jp [ここも。]
｜To: amyht＠mindspring.com, ljmnash＠mindspring.com, h20crft＠mi
｜ndspring.com,
｜johngetz＠mindspring.com, jweredskin＠mindspring.com,
｜twistedee＠mindspring.com, kakins＠mindspring.com

のある（偽エラー）メールが、いけだ様の所には本文に

（２）
｜From: xxx＠xxx.or.jp　[←一いけだ様のアドレス]
｜Reply-To: xxx＠xxx.or.jp [ここも。]
｜To: amyht＠mindspring.com, ljmnash＠mindspring.com, h20crft＠mi
｜ndspring.com,
｜johngetz＠mindspring.com, jweredskin＠mindspring.com,
｜twistedee＠mindspring.com, kakins＠mindspring.com

のある（偽エラー）メールが届いているだけであり、
（１）のような本文のメールは一体全体様以外には届いていないし、
（２）のような本文のものはいけだ様以外には届いていないと思われます。

　いけだ様の所に届いたスパムの一通は
65.164.234.129
を利用していますが、ほら外国の苦情システムSpamCop
http://spamcop.net/w3m?action=checkblock&ip=65.164.234.129
にも届けられています。
　ここには本文はありませんが、そこに書かれていたのは
｜From: xxx＠xxx.or.jp　
｜Reply-To: xxx＠xxx.or.jp

はそれぞれ受け取った人のアドレスだったのです。多分。

　すみません、タイミングがずれたようです。取りあえず
今、御覧になっている皆様は理解していただけたようですね。

　で、

> のある（偽エラー）メールが届いているだけであり、

で「だけ」と書いてしまいましたが、それに加えて、
普通のスパムの形式でそれぞれに届いているわけですね。

　だから今回受け取った人はみんな同じように驚いて、冤罪を憂えている
のだと思いますし、それを狙ったものでしょう。

　もっともアドレス詐称のスパムがあるとか、
そういうのさえ知らない方々は「？？？？？」だけで終わっちゃうのかも（^^;;）

　スパムまみれになっている英文spamで、
自分のスパムを目立たせようとした、しかも、スパムまみれになっている
人々（私もだけど）はアドレス詐称の危険を知っているので
その知識を逆に利用した悪質・巧妙なスパムですね。

本当にありがとうございます。

確かに、いつもは冷静に捨てているスパムなのに、わけがわからない
うえに人様にまで迷惑をかけているかもしれないと思って焦りました。
この掲示板にめぐりあわなかったら、思い余ってスパムに返信したりし
ていたかもしれません。敵の心理攻撃にやられるところでした。くわば
らくわばら。

うざいので、上げ

管理人様

> 不達にみせかけたメールが届いているだけです。

そうですね。スッカリ騙されてしまいました。
管理人様の解析
http://earth.endless.ne.jp/users/stakasa/spam/wforum/wforum.cgi?no=5691&reno=&oya=5681&mode=msgview&list=
および
http://earth.endless.ne.jp/users/stakasa/spam/wforum/wforum.cgi?no=5692&reno=&oya=5681&mode=msgview&list=
を読んで，自分でもどうして気づかなかったのか，と思いました……。

私が管理人様のメッセージを読むタイミングと，レスを書く速度とレスのつけ方があまり良くなくて
よけいなお手数をおかけしてしまいました。申し訳ないです。

> > 大量送信の際に、送り先ごとに中身を変えるメールは
> > 比較的ツールを使えば簡単に送れます。
> > それであたかも各人にエラーメールが届いたかのように
> > 見せかけている可能性があります。

そうですね。
知識として一応知ってはいても（聞いたことがある，など）
いざ自分の身に起きるとあわててしまって……。（応用力がないとはこのことでしょう。自戒。）

> 　いけだ様の所に届いたスパムの一通は
> 65.164.234.129
> を利用していますが、ほら外国の苦情システムSpamCop
> http://spamcop.net/w3m?action=checkblock&ip=65.164.234.129
> にも届けられています。

これは気づきませんでした。
まだまだ，IPでの探し方を勉強する必要がありそうです。

ほんとうに，お騒がせして申しわけありませんでした。

このSPAMに関しては，しばらく様子を見てみることにします。（フィルタで排除せずに。）
また別なURLが書かれたものなどが来ましたら，ご報告に上がります。

HotWiredの二年以上前の記事なんだが、参考までに。

自分で自分に『スパム攻撃』？(上)
http://www.hotwired.co.jp/news/news/culture/story/20000704202.html

自分で自分に『スパム攻撃』？(下)
http://www.hotwired.co.jp/news/news/culture/story/20000705207.html

> HotWiredの二年以上前の記事なんだが、参考までに。
>
> 自分で自分に『スパム攻撃』？(上)

このレベルなら今までもあったんですけどね。携帯では「なりすまし」と
言われているものです。

「冤罪アドレスまがい型迷惑メール」について携帯メールにて多発中！
「え？送信者アドレスが自分？」と思ったら．．．
http://earth.endless.ne.jp/users/stakasa/spam/xiedai/xiedaiyuanzui-jia.html

　今回のはさらにそれをひっくり返したような、ややこしいものだと思います。
この手法、多分、二番煎じが出てきますね。

ちなみに英文spamの被害が
http://earth.endless.ne.jp/users/stakasa/spam/img/tongji-ge.gif
こんなな私ですが、今回のものは受け取っていません。

　一体英文spammerには何グループあるんだか．．．．

管理人様、きょうへい様、他のパソコン有識者の皆さま。
いやーー、10時にメールを開けてからずっとパニクっていました。この掲示板にたどり着いて本当に助かりました。
知り合いにアドレス詐称でとんでもない目にあった人を知っているので、あせってしまいました。
仕事で使用しているアドレスなので、変更すると仕事先にも迷惑をかけるし、ど・ど・どーしよーー・・でした。
とりあえずプロバイダーのカスタマーサービスで特定要素を持つメールの受信拒否設定をしました。重ねて御礼申し上げます。