以前このブログのどこかに書いたような・・・見つからないのでもう一度書き直します。
メールには、送信者や送信元の情報などを表すヘッダー情報が含まれています。
ヘッダはひとかたまりのテキストデータになっています。この中の、自分自身のメールアドレスは勿論、宛先、件名などのメールの送信に必要な情報は、メールヘッダとして扱われます。 一般的なメールヘッダ、特に送信時に一番最初につけられるそのメールそのものの情報は、自由に設定することができます。つまり、本来の情報ではないものに偽装して送信することも可能です。
送信者個人を特定する情報に関しても、送信者の意思により簡単に変更できてしまいます。またBCCを利用することで、本来の宛先を隠したままメールを送信 することもできます。例えば、TO:sample@12345.com, BCC:abc@acbdef.com として送信されたメールは、abc@abcdef.com に届いても、sample@12345.com宛のメールが着たようにしか見えません。
昨今の殆どのウィルスメールや迷惑メールは、これらの偽装方法を利用し、差出人や宛先さえも本来のものではないまま無差別に送信されています。
ヘッダ情報の確認方法
ヘッダー情報は、メールツールより容易に確認できます。怪しいと思ったら確認してみるとよいでしょう
- Outlook Expressの場合
受信トレイなどにあるメールを右クリックして[プロパティ]→[詳細](このメッセージのインターネット ヘッダー)でヘッダ情報を見ることができます。 - Thunderbirdの場合
メニューから[表示]→[ヘッダ]→[すべて]を選択するとヘッダ情報を見ることができます。 - ヤフーメールの場合
ログイン後、メールを表示し、[詳細ヘッダー]というリンクをクリックするとヘッダ情報を見ることができます。 - Hotmailの場合
以前はヘッダ情報の設定がありましたが、現在はないようです。 - Gmailの場合
ログイン後、メールを表示するとメールに▼ボタンがあり、これをクリックし、[メッセージのソースを表示]を選択するとヘッダ情報を見ることができます。
以下はメールヘッダの例です。
Return-Path: <xxxxx@testtest.com> X-Original-To: 00000@sample.jp Delivered-To: 11111@sample.jp Received: from smtp16.mail.bbt.yahoo.co.jp (smtp16.mail.bbt.yahoo.co.jp [202.93.83.109]) by sample.jp with SMTP id 6122A25ED23 for <00000@sample.jp>; Tue, 13 Sep 2005 15:06:59 +0900 (JST) Received: from unknown (HELO PC NAME) (219.110.000.00 with poptime) by smtp16.mail.bbt.yahoo.co.jp with SMTP; 13 Sep 2005 06:06:43 -0000 Message-ID: <20050913xxxxxxxxx@dbulks02.yahoo.co.jp> From: sample <sample@testtest.com> To: <00000@sample.jp> Reply-To: zzzzz@testtest.com Subject: test Date: Tue, 13 Sep 2005 15:06:38 +0900 MIME-Version: 1.0 Content-Type: text/plain; format=flowed; charset="iso-2022-jp"; reply-type=original Content-Transfer-Encoding: 7bit X-Mailer: Microsoft Outlook Express 6.00.2900.2527
確認するのは「received」という部分です。メールツールには「From」の情報が送信者として表示されますが、これはメール送信時に簡単に書き換えができます。
receivedには経由したサーバのIPアドレス、ドメイン名、送信元のIPアドレス、ドメイン名などが記録されます。
経由したサーバの数だけReceivedに記録されます。
一番下のReceivedが送信元で、一番上のReceivedが自分のメールサーバです。
下から順に経由したサーバが記録されます。
送信先の情報を確認するには、「received」の中の特にfromの[ ]カッコ内のIPアドレスが重要です。
以下のような書式で書かれています。
Received: from 送信したパソコン名またはホスト名など (右記のIPアドレスのホスト名[送信したコンピュータのIPアドレス]) by 受け取ったサーバ名 with SMTPなどの転送方法 id 転送時のID番号 for 宛先のメールアドレス; 処理時刻
以下例では、from ocn.ne.jp ([61.233.184.140])の部分は、61.233.184.140が中国のIPですが、from ocn.ne.jpとなっています。中国の回線で接続し、ocn.ne.jpというメールサーバを使って送信すれば、このようなヘッダになりますが、ocn.ne.jpというメールサーバは存在しないので、サーバ名をocn.ne.jpに偽装して送信していると思われます。
Received: from ocn.ne.jp ([61.233.184.140])
by rcpt-impgw.biglobe.ne.jp (kmfn/1311190705) with SMTP id j8TNJVv3017860
for <test@biglobe.ne.jp>; Fri, 30 Sep 2005 08:19:31 +0900 (JST)
以下の例では、bgmgate1.biglobe.ne.jp の部分が偽装されているように見えますが、bgmgate1.biglobe.ne.jp というメールサーバは存在します。
Received: from bgmgate1.biglobe.ne.jp (p1163-ipbf615marunouchi.tokyo.ocn.ne.jp [222.149.232.163]) by rcpt-impgw.biglobe.ne.jp (kmfn/1311190705) with SMTP id j8TM9IdZ010976 for <test@biglobe.ne.jp>; Fri, 30 Sep 2005 07:09:18 +0900 (JST)
通常のメールの場合、
①送信者コンピューター → ②送信メールサーバー → ③相手受信メールサーバー
という形になります。なので、上記確認手順により、送信者のIP情報を割り出すことが出来ます。
しかし特殊な方法で①~②の部分を出さずにあたかも③の相手受信メールサーバーが送信者であるかのように 装うウィルスメール/迷惑メールも多数存在します。
参考)PC遠隔操作ウィルス事件 写真に含まれるExif情報から位置情報を割り出し
基本的にはreceivedに記載のあるIPアドレスのみに注目し、nslookupコマンドなどで、そのIPアドレスのドメイン名を逆引きすれば、そのIPがど このドメインに属するのかを把握でき、大体の送信元も推測することができます。
参考)自分でお手軽にProxyサーバーを設置(IPアドレス偽装) ~ CGI PROXY
例)中国動画サイトのIP
あなたが検索されたIPアドレス[ 211.151.146.19 ]の企業名・団体名は以下の通りです。
| # # Query terms are ambiguous. The query is assumed to be: # “n 211.151.146.19″ # # Use “?” to get help. ## # The following results may also be obtained via: # http://whois.arin.net/rest/nets;q=211.151.146.19?showDetails=true&showARIN=false&ext=netref2 # NetRange: 211.0.0.0 – 211.255.255.255 OrgName: Asia Pacific Network Information Centre ReferralServer: whois://whois.apnic.net OrgAbuseHandle: AWC12-ARIN OrgTechHandle: AWC12-ARIN # % [whois.apnic.net node-1] inetnum: 211.151.0.0 – 211.151.255.255 route: 211.151.128.0/18 person: Yang Jun person: Cao Wentao |
