2004年08月13日
受信したウィルスメールの正しい対処(1)
ゲームでもメール使用がメインとなった時代、スパムや迷惑メール、ウィルスなど、色々なメールが届くようになりました
ウィルスメールに関しては、最近の対策ソフトの性能向上によってどんなメールソフトでも事前にブロック・通知してくれるようになりましたが、発信元情報の追跡やウィルス報告に関しては全くノータッチだと思います
最近のウィルスは発信元情報を書き換えるのが標準になっているようです。感染したコンピュータ内にある情報(アドレス帳やインターネットエクスプローラのキャッシュなど)から適当にアドレスを付けるらしく、下手をすると全く筋違いのところに「貴方のパソコン、ウィルスに感染してますよ」と報告するはめになります。プロバイダのサービスで自動ウィルスブロックで報告されてくるメールも、書き換えられた発信元を参照して返信してくるので、濡れ衣着せられた受取人は大変です(ウェブサイトでアドレス公開している人は特に)
そこで間違った報告をしないためにも、偽装だらけのウィルスメールの正しい見方について少し書いてみようと思います
表面上の各情報、送信者、受信者、返信先、CC等々は信用できません。見るのはメールの本来の情報、ソースの中にあるヘッダという部分です
●Outlook Expressの場合(※プレビュー表示は設定で切って下さい)
(1) リスト内の該当メールを右クリックしてプロパティを開きます
(2) 詳細タブを選択し「メッセージのソース」を選択する
●Outlookの場合(※プレビュー表示は設定で切って下さい)
(1) リスト内の該当メールを右クリックしてオプションを開きます
(2) インターネットヘッダーの欄を参照します
●Becky! Internet Mail Ver.2の場合(※HTML表示は設定で切って下さい)
(1) リスト内の該当メールを選択して内容を表示させます
(2) 内容表示の下部にカーソルを持って行くと「本文」、「ヘッダ」などのタブが現れるので、「ヘッダ」タブを選択します
Received:
by mail52.nifty.com id 41169c3852598b;
Mon, 09 Aug 2004 06:33:44 +0900
Received: from mail507.nifty.com
by flt504.nifty.com
with SMTP id 41169c3852f6ad;
Mon, 9 Aug 2004 06:33:44 +0900
Received: from nifty.com (p2183-ipbf99xxxxx.xxxxx.ocn.ne.jp [xxx.184.xxx.183])by mail507.nifty.com
with ESMTP id i78LXTO4019914 for
Mon, 9 Aug 2004 06:33:30 +0900
Message-Id: <200408082133.i78LXTO4019914@mail507.nifty.com>
From: xxx@edit.ne.jp
To: kumattan@nifty.com
Subject: believe me
Date: Mon, 9 Aug 2004 06:33:53 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_000_0001_00004A15.00001DA9"
X-Priority: 3
X-MSMail-Priority: Normal
Status: U
X-UIDL: 1092000824.21081.mailbox
この例ではずらずらっとRecieved行が並ぶ中のの一番下(p2183-ipbf99xxxxx.xxxxx.ocn.ne.jp [xxx.184.xxx.183])が本当の発信元です。括弧内に本来のアドレスでocnと出ているのに「Received: from nifty.com」と書かれています。またメールソフトで差出人情報として表示されるfrom欄も全く無関係な別プロバイダ(edit.ne.jp)です。これが最近のウィルスの特徴です
今回はこのヘッダの見方を簡単にしてくれるサイトを紹介します
IPドメインSEARCH(http://www.mse.co.jp/ip_domain/)内の「IPドメインMAILチェック」です
先程見たヘッダあるいはソースの部分をコピーしてここに放り込むだけで、調査結果が出てきます
結果が出ましたら「送信者がメール送信に使ったホスト」に注目してください。ここに書いてあるアドレス、これが本当の発信元です
実はこれだけでは個人を完全に特定することはできません。あとは発信元となったホストの管理プロバイダへ調査・対策依頼を出さなければならないのですが……
関連記事:受信したウィルスメールの正しい対処(2)
投稿者 くにゃ : 2004年08月13日 02:42
トラックバック
このエントリーのトラックバックURL:
http://kumatta.baconpotato.net/mt/mt-tb.cgi/284
このリストは、次のエントリーを参照しています: 受信したウィルスメールの正しい対処(1):
» 受信したウィルスメールの正しい対処(2) from Speakeazy
特定したIPアドレスをプロバイダに報告します [続きを読む]
トラックバック時刻: 2004年08月30日 02:49
コメント
早速利用させていただきました
この手の変なメール、急にきだして迷惑してたところだったので助かりました
それにしても、「あなたから空メールがきたので心配で送ったのですが…」の送信先がメーラーでなかったのにはびっくり
投稿者 狩野 : 2004年08月19日 06:53
狩野さんが「心配で…」と受け取った、そのメールの送信「元」のアドレスでしょうか?(汗) すみません、混乱してます
投稿者 くな : 2004年08月30日 03:03
そうですね、その意味では送信「元」です
投稿者 狩野 : 2004年08月31日 06:47