2004年08月30日
受信したウィルスメールの正しい対処(2)
前回で発信元のIPアドレスを特定する方法を書きました。今回は発信元への対処の仕方を書きます
まず、IPアドレスがわかっても本人に直接メールする事はできません。IPはメールアドレスとは無関係ですし、仮に他の手段でIPアドレスへアプローチするにしても(できたとしても)、その時はもう別のプロバイダ会員がそのIPをレンタルしてもらってるかも知れません
できる事はひとつ。そのIPアドレスを管理するプロバイダに報告して、対処してもらうことです
国内プロバイダ向けの報告メールの内容例は以下の通りです
●●と申します。
御社の顧客と思われる IP adress [xxx.xxx.xxx.xxx]よりウィルス添付のメールが送られてきています。対象顧客に対する対応をお願いします。
末尾にヘッダー情報のReceived欄を転記致しますのでご参照ください。
どうぞよろしくお願いいたします。
もし宜しければ、対応していただいた結果につきまして、ご連絡戴ければありがたく存じます。
-----
《以下、該当メールのヘッダーの転記が続く》
重要なのは発信元IPとヘッダ情報の提供です。IPアドレス以上に多くの情報を含むヘッダがあれば、サーバーのアクセスログを解析できますが、なければ担当も動くことができません。もし複数IPで全く同一の発信元だったら、まとめて書くのも良いでしょう
このメールのあて先ですが、とりあえず「メール経路の分析結果」にあった「●●.ne.jpを「IPドメインSEARCH」で調査」ボタンをクリックして、プロバイダの詳細を見てください。ウィルスやスパム対策受付先が掲載されていればそのアドレスを使用します(おそらく載っていないと思いますが)
次は、とりあえずそのプロバイダのサイトを見てみます。@niftyならhttp://www.nifty.com、DIONならhttp://www.dion.ne.jp/です
大抵のプロバイダはabuse@●●.ne.jpのような、苦情受付先アドレスを用意していますので、そちらを利用します
もしサイト見ても分からなければ、検索に頼るほかありません。「苦情受付先 [プロバイダ名]」とか、「abuse [プロバイダ名]」などで検索していきます
海外プロバイダだったりした場合は、英語で書ける人は書いてみて下さい
あ、あと海外でも特に中国からのものは、あきらめたほうが逆に安全かも知れません。下手にプロバイダと思しきURLは踏まないようにしてください
関連記事:受信したウィルスメールの正しい対処(1)
(※)追記 2004年08月30日 10:09
ぷららは「http://www.plala.or.jp/access/study/virus/」にてメールフォームで受付を行っていました投稿者 くな : 02:45 | コメント (0) | トラックバック
2004年08月24日
エルスウェア、次回作の検討開始か?
有限会社エルスウェアのサイト、日記モノ → エルスウェア社員日記(当番制) → 08/20 の項目を参照。
竹本みかんさんの書き込みによれば、メイルゲーム企画の検討を始められたようです。
続報の待たれるところですね。
投稿者 sn : 22:07 | コメント (0) | トラックバック
2004年08月13日
受信したウィルスメールの正しい対処(1)
ゲームでもメール使用がメインとなった時代、スパムや迷惑メール、ウィルスなど、色々なメールが届くようになりました
ウィルスメールに関しては、最近の対策ソフトの性能向上によってどんなメールソフトでも事前にブロック・通知してくれるようになりましたが、発信元情報の追跡やウィルス報告に関しては全くノータッチだと思います
最近のウィルスは発信元情報を書き換えるのが標準になっているようです。感染したコンピュータ内にある情報(アドレス帳やインターネットエクスプローラのキャッシュなど)から適当にアドレスを付けるらしく、下手をすると全く筋違いのところに「貴方のパソコン、ウィルスに感染してますよ」と報告するはめになります。プロバイダのサービスで自動ウィルスブロックで報告されてくるメールも、書き換えられた発信元を参照して返信してくるので、濡れ衣着せられた受取人は大変です(ウェブサイトでアドレス公開している人は特に)
そこで間違った報告をしないためにも、偽装だらけのウィルスメールの正しい見方について少し書いてみようと思います
表面上の各情報、送信者、受信者、返信先、CC等々は信用できません。見るのはメールの本来の情報、ソースの中にあるヘッダという部分です
●Outlook Expressの場合(※プレビュー表示は設定で切って下さい)
(1) リスト内の該当メールを右クリックしてプロパティを開きます
(2) 詳細タブを選択し「メッセージのソース」を選択する
●Outlookの場合(※プレビュー表示は設定で切って下さい)
(1) リスト内の該当メールを右クリックしてオプションを開きます
(2) インターネットヘッダーの欄を参照します
●Becky! Internet Mail Ver.2の場合(※HTML表示は設定で切って下さい)
(1) リスト内の該当メールを選択して内容を表示させます
(2) 内容表示の下部にカーソルを持って行くと「本文」、「ヘッダ」などのタブが現れるので、「ヘッダ」タブを選択します
Received:
by mail52.nifty.com id 41169c3852598b;
Mon, 09 Aug 2004 06:33:44 +0900
Received: from mail507.nifty.com
by flt504.nifty.com
with SMTP id 41169c3852f6ad;
Mon, 9 Aug 2004 06:33:44 +0900
Received: from nifty.com (p2183-ipbf99xxxxx.xxxxx.ocn.ne.jp [xxx.184.xxx.183])by mail507.nifty.com
with ESMTP id i78LXTO4019914 for
Mon, 9 Aug 2004 06:33:30 +0900
Message-Id: <200408082133.i78LXTO4019914@mail507.nifty.com>
From: xxx@edit.ne.jp
To: kumattan@nifty.com
Subject: believe me
Date: Mon, 9 Aug 2004 06:33:53 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_000_0001_00004A15.00001DA9"
X-Priority: 3
X-MSMail-Priority: Normal
Status: U
X-UIDL: 1092000824.21081.mailbox
この例ではずらずらっとRecieved行が並ぶ中のの一番下(p2183-ipbf99xxxxx.xxxxx.ocn.ne.jp [xxx.184.xxx.183])が本当の発信元です。括弧内に本来のアドレスでocnと出ているのに「Received: from nifty.com」と書かれています。またメールソフトで差出人情報として表示されるfrom欄も全く無関係な別プロバイダ(edit.ne.jp)です。これが最近のウィルスの特徴です
今回はこのヘッダの見方を簡単にしてくれるサイトを紹介します
IPドメインSEARCH(http://www.mse.co.jp/ip_domain/)内の「IPドメインMAILチェック」です
先程見たヘッダあるいはソースの部分をコピーしてここに放り込むだけで、調査結果が出てきます
結果が出ましたら「送信者がメール送信に使ったホスト」に注目してください。ここに書いてあるアドレス、これが本当の発信元です
実はこれだけでは個人を完全に特定することはできません。あとは発信元となったホストの管理プロバイダへ調査・対策依頼を出さなければならないのですが……
関連記事:受信したウィルスメールの正しい対処(2)