つぶやく
| リビング+:特集 | 2003/02/27 23:59:00 更新 |
特集:ホームユーザーのための実践的セキュリティ術(第4回)
しつこいウイルスメールへの対処法〜Fromを詐称されたメールから送信元を特定
最近のウイルスは、Webブラウザのキャッシュを調べ、勝手に感染メールを送りつけてくるものが多い。ワクチンソフトを導入しておけば、ウイルスに感染することはまずないが、できれば感染ユーザーに連絡し、駆除してもらいたいところだ。それでは、どうやって連絡をとればよいのだろうか
第3回までに述べた方法で、基本的なセキュリティ対策を講じることができた。それでも運用を続けていると、わずらわしい出来事が発生する。
例えば、最近のウイルスは、Webブラウザのキャッシュを調べ、勝手に感染メールを送りつけてくるものが多い。このため、ホームページを開設しているユーザーは、ヒット数が増加するにつれ、大量のウイルス感染メールが届くことがある。もちろん、ワクチンソフトを導入しておけば、ウイルスに感染することはまずない。しかし、メールソフトを起動するたびに、感染メールを検出したという警告が表示されるのは、かなり鬱陶しい。最悪の場合、メールボックスが感染メールで埋まってしまうことさえある。
このごろは、ハードディスクの内容を消去するといったような悪質なウイルスは減った。しかし、その代わり感染力がすさまじいものが増えている。ファイルには感染しないものの、複製した自分自身をメールに添付して勝手にばらまき、単独で増殖していくタイプの不正プログラムのことを「ワーム」という。このようなワームが流行している。ワームは感染したPCに対しては大した悪さをしないものが多く、感染してもなかなか気づかない。こうして、感染したPCからは大量のウイルス感染メールがばら撒かれていくことになる。
数年前なら、ウイルスに感染されたメールが届いても、単純に送信者に「感染してるから、ワクチンソフトで除去するように」連絡すればよかった。
ところが、単独で勝手に感染メールをばらまくワームが増加してくると、あまり親しくない知人や、全然見知らぬ人から、感染メールが送られてくるようになった。ワームがWebブラウザのキャッシュなどをあさり、Webページに掲載されているメールアドレスを探し出し、そのアドレス宛てに勝手に感染メールを送りつけるからだ。あなたが開設しているホームページを、たまたま覗いたユーザーがワームに感染してしまうと、そのユーザーから面識のないあなたに感染メールが送られるのだ。
それでも、ワームが「Outlook Express」などメールソフトの機能を使って送信していた頃はよかった。送信者のメールアドレスがFrom欄に残るからだ。しかし、2002年に大流行したKlezなどの場合は、From欄を偽装する。かなり感染力が強いワームだったため、何度も感染メールを送りつけてくるのだが、感染メールにそのまま返信しても、感染ユーザーに連絡をとることができない。結局、ユーザーが自分で感染に気づくまで、周囲に感染メールがばらまかれることになる。
このような鬱陶しいウイルス感染メールには、どのように対処すればよいのだろうか。そのまま放置しておいても、ワクチンソフトが感染から守ってくれるだろう。しかし、感染PCを放置しておくと、インターネットの限られた帯域が、感染メールのばらまきによって無駄に消費されてしまう。また、被害が広まることにもなる。できれば、感染ユーザーに連絡して、ワームを駆除してもらいたいところだ。それでは、どうやって連絡をとればよいのだろうか。
中継サーバが付加するヘッダに注目
メールのFrom欄やDate欄は、送信側(のプログラム)が付加する情報だ。このため、送信側がウイルスに感染してしまうと、いくらでも偽装することができる。未来からのタイムマシンメールを送ることもできるし、総理大臣からのメールを装うこともできる。これらの情報はあてにならない。
そこで、メールソフトを操作して、メールのヘッダ情報を表示してみてほしい。次のような内容が表示されるだろう。
メールヘッダの例1Received: from unknown (HELO sv03.geocities.co.jp) (210.153.89.186)by ■■■.com with SMTP; 30 Aug 2002 20:04:04 +0900 Received: from ml01.geocities.co.jp (ml01.geocities.co.jp [210.153.89.162]) by sv03.geocities.co.jp (8.11.6+3.4W/8.11.6) with ESMTP id g7UB43K90508 for <■■■@■■■.com>; Fri, 30 Aug 2002 20:04:03 +0900 (JST) (envelope-from ■■■@miyazaki■■■.ne.jp) Received: from mcn-ma1.miyazaki■■■.ne.jp (mcn-ma1.miyazaki■■■.ne.jp [■■.216.62.84]) by ml01.geocities.co.jp (1.3G-8.9.3/GeocitiesJ-3.0) with ESMTP id UAA06670 for <■■■@geocities.co.jp>; Fri, 30 Aug 2002 20:03:58 +0900 (JST) Received: from Axvmc (mcn-cm2d7119.miyazaki■■■.ne.jp [■■.216.48.119]) by mcn-ma1.miyazaki■■■.ne.jp (8.11.6+3.4W/3.7W) with SMTP id g7UB3gd22492 for <■■■@geocities.co.jp>; Fri, 30 Aug 2002 20:03:42 +0900 (JST) Date: Fri, 30 Aug 2002 20:03:42 +0900 (JST) Message-Id: <200208301103.g7UB3gd22492@mcn-ma1.miyazaki■■■.ne.jp> From: sumire To: ■■■@geocities.co.jp Subject: (C) 2001 Yahoo Japan Corporation. All Rights MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=U0sXl434xpZPby7GtCy |
これらのヘッダのうち、「Received」は中継するメールサーバによって追加される情報だ。「Received from A by B」というのは、Bというメールサーバが、Aからメールを受け取ったという意味で、メールサーバBによって記録される。送信者が残す情報ならウイルスによる偽装の可能性があるが、メールサーバが残した情報であれば信頼してもよい。
ここでは、いちばん最後の「Received」に注目したい。サーバがメールを中継するたびに「Received」の前に新しい「Received」が追加されていくため、いちばん最後の「Received」の「from」の後は、メールの送信者となる。Fromには、兵庫県某市の職員のようなアドレスが使われていたが、Receivedには宮崎県の某ISPのIPアドレスが記録されている。やはりFromは偽装しているようだ。
Receivedの偽装に気をつける
中継サーバが残す「Received」は信頼できるものだ。しかし、偽の「Received」によって、紛らわしくなるよう工作されることもある。次のヘッダを見てみよう。
メールヘッダの例2Return-Path: <■■■@yahoo.com.ar>Delivered-To: ■■■@■■■.com Received: (qmail 3910 invoked by uid 114); 6 Oct 2002 06:54:12 +0900 Received: from ■■■@yahoo.com.ar by st31.arena.ne.jp by uid 111 with qmail-scanner-1.10 (sophie: 2.10/3.61. . Clear:0. Processed in 0.035984 secs); 6 Oct 2002 06:54:12 +0900 Received: from unknown (HELO ■■■.jp) (■■.228.1.9) by ■■■.com with SMTP; 6 Oct 2002 06:54:11 +0900 Received: from yahoo.com.ar (■■■.dsl.■■■.net.br [■■.171.120.122]) by ■■■.jp (8.9.3/3.7W) with SMTP id GAA18682 for <■■■@■■■.jp>; Sun, 6 Oct 2002 06:53:59 +0900 (JST) From: ■■■@yahoo.com.ar Received: from rly-xw05.o■■■.com ([■■.192.49.52]) by da001d2020.loxi.p■■■.net with QMQP; Sat, 21 Sep 2002 23:56:35 -0700 Received: from unknown (HELO mta85.snfc21.■■■.net) (85.60.103.96) by rly-yk04.a■■■.com with local; 21 Sep 2002 16:55:50 +0200 Received: from ■■.152.163.238 ([■■.152.163.238]) by rly-xw01.o■■■.com with QMQP; Sat, 21 Sep 2002 18:55:05 +0300 Received: from unknown (HELO rly-yk04.a■■■.com) (34.3.216.41) by rly-xw05.o■■■.com with SMTP; 21 Sep 2002 21:54:20 +1200 Received: from [■■.41.66.6] by rly-xw05.o■■■.com with smtp; 22 Sep 2002 09:53:35 -0100 Reply-To: <■■■@yahoo.com.ar> Message-ID: <000c42e52d8d$8233e8e6$5dd48ab6@qbubyo> To: <■■■@■■■.jp> Subject: ■■■ Date: Sun, 22 Sep 2002 18:39:53 -1000 |
最後の「Received」から考えると、ここに書かれた「■■.41.66.6」というIPアドレスが送信元のように思えるが、実は、Fromの後にある「Received」はすべて偽物である。
サーバA→サーバB→サーバC→サーバDとメールが中継される場合、「Received from C by D」「Received from B by C」「Received from A by B」というヘッダが残されるはずだ。ところが、Fromの後の「Received」では「da001d2020.loxi.p■■■.net」が受け取ったことになっているが、Fromの前の「Received」では「■■■.dsl.■■■.net.br」から中継されている。この2つは本来同じものにならなければならない。したがって、Fromの後は、メールサーバが残したものではなく、このSPAMメールの送信者による偽装だと考えられる。このメールの実際の送信者は「■■■.dsl.■■■.net.br」(■■.171.120.122)であると考えられる。
IPアドレスが判ったら
もちろん、IPアドレスが判明しただけでは、感染ユーザーに連絡をとることはできない。しかし、メールヘッダの「Received」によって、利用しているISPと、ISPから割り当てられたIPアドレス、時刻が判った。これだけの情報があれば、ISPの管理者ならユーザーを特定できる。そこで、感染ユーザーに直接ではなく、ISPのサポートを通じて連絡をとることにしたい。ISPといってもさまざまなところがあるが、最近は小さなISPでもしっかりしており、ウイルスの感染メールにせよ、SPAMメールにせよ、サポートに連絡をとると、きちんと対処してくれるところが多い。感染ユーザーに直接連絡をとるわけではないのだが、しばらくすると感染メールが届かなくなるので、感染ユーザーに話が伝わったことがわかる。
なお、ISPのサポートのメールアドレスだが、「Received」に表示されるホスト名から推測しよう。ドメイン名がわかれば、とりあえず「support@■■■.ne.jp」にメールを送ってみたり、「http://www.■■■.ne.jp」にアクセスし、サポートのメールアドレスを探したりしてもよい。ただ、サポートへのメールには、感染メールのヘッダを添付することを忘れないようにしたい。
また、IPアドレスだけでは、どこのISPかわからない場合は、日本ネットワークインフォメーションセンター(JPNIC)のデータベース「Whois」(http://whois.nic.ad.jp/cgi-bin/whois_gw)に、IPアドレスをそのまま入力して検索するとよいだろう。JPNICの管理下にあるものならば、そのIPアドレスを管理しているISPの名前を教えてくれる。
関連記事
セキュリティパッチの重要性〜セキュリティ対策ソフトだけで安心してはダメ内部プログラムの怪しい動きをチェック〜パーソナルファイアウォールの正しい使い方ルータはセキュリティの第一歩〜ブロードバンドルータで防げる攻撃と防げない脅威Klez、ウイルスランキングで依然トップKlezの感染拡大をとめるのは誰?関連リンク
JPNIC Whois Gateway[吉川敦,ITmedia]
おすすめPC情報テキスト
モバイルショップ
新型Core i5/i3搭載PC発売開始!
HD再生も可能なグラフィックス・コアを備えた最新モデル!
ノートモデルが続々と新発売
Core i7搭載ハイエンドノートから激安ネットブックまで!
FEED BACK
キャリアアップ
ピックアップ
価格比較:高級コンパクトデジカメ09年秋冬モデル、価格を比較
年末商戦向けに展開されている、各社高級コンパクトデジカメの価格を比較した。注目されるのはあえて高画素化の道を選択しなかったモデルだ。
ビデオカメラ特集
デジタルビデオカメラは既に“フルHDは当たり前”となってきた。最新機種のレビューでフルHDに次ぐ、新たな選択肢を探してみよう。
価格比較:「1万チョイまで」で幸せになるカナル型イヤフォン16選
ポータブルオーディオの最も簡単かつ効果的なチューニングはイヤフォンの変更。最近ではバリエーションも充実しており、ちょっと財布のひもを緩めればシアワセになれる。今回は人気のカナル型を集めてみた。
価格比較:夏の水辺はコレで撮る――今夏の防水デジカメ徹底チェック(後編)
今年は防水デジカメの当たり年。今シーズンに登場した防水デジカメの仕様と価格を比較する。
価格比較:高級コンパクトデジカメ、価格を比較
最近ではハイビジョン動画や個人認識、さらには超高速連写など、デジタルであることを前面に押し出した製品も増えているが、“撮ることの楽しさ”を前面に押し出した高級コンパクトデジカメもいちジャンルを築いている。各社製品の価格を比較した。
価格比較:充実のエントリーデジタル一眼、価格を比較
最新のエントリー向けデジタル一眼は撮像素子も10メガを越えたほか、ライブビューやHD動画機能なども備えており、その充実ぶりは目を見張る。お買い得感の高いダブルズームキットで価格を比較した。
価格比較:ハイアマ向けミドルクラス一眼、価格を比較
撮像素子はAPS-Cサイズながら、各種装備やスペックを充実させた中級デジタル一眼レフの価格を比較した。エントリー向けに比べやや高価にはなるが、いわゆる写真愛好家を対象とした製品だけに、充実した製品がそろっている。
価格比較:あこがれを手に入れる、フルサイズ一眼の価格を比較
これまでフルサイズ機といえば、プロ向けの高価な製品しか存在していなかったが、今では少し背伸びをすれば狙える。とはいえまだまだ高価。最新価格のチェックは欠かさずにいたい。
価格比較:エコポイント活用、ハイエンド機も充実の50V型以上テレビ価格一覧
50V型以上ともなると、各社のハイエンドモデルと録画機能付きテレビのオンパレード。プラズマテレビも選択肢が増え、画質・機能ともに充実した製品が並ぶ。
価格比較:エコポイント活用、満足度の高い46V/47V型テレビ価格一覧
“価格比較”3回目は、46V型と47V型に注目。液晶テレビではプレミアムモデルの比率が高まり、プラズマテレビも選択肢が増えてくる。画質や機能は欲ばりたいが、出費はなるべく抑えたい――そんな人にぴったりのサイズだ。
価格比較:エコポイント活用、売れ筋40V/42V型テレビ価格一覧
売れ筋の40V型、42V型の薄型テレビからエコポイント対象製品を取り上げ、実売価格を比較する。エコポイントは2万3000点。
価格比較:エコポイント活用、最新37V型テレビの価格一覧
前回の40V型/42V型に続き、今回は1まわり小さい37V型を取り上げる。最新注目機種の中から、エコポイント対象製品をピックアップ。
価格比較:エコポイント活用、録画対応モデルも充実の32V型テレビ価格一覧
リビングルームのメインテレビとして、また書斎や寝室におくパーソナルテレビとしても注目される32V型液晶テレビ。ここ1年ほどで倍速駆動や録画機能を備えた製品が増えているのも特徴だ。今回は各社のエコポイント対応製品16機種をリストアップ。
価格比較:エコポイント活用、個室にちょうどいい26V型以下の液晶テレビを比較
パーソナルサイズと位置づけられる26V型以下だが、最近は上位モデルの機能を一部取り込む形で個性的な製品が増えている。個室やベッドルームなど、シチュエーションに合わせて検討したい。
|
利用規約 | プライバシーポリシー | 広告案内 | サイトマップ | お問い合わせ |
ITmedia|ITmedia News|プロモバ|ITmedia エンタープライズ|ITmedia エグゼクティブ|TechTargetジャパン |
