メールの送信元情報を偽装するには？迷惑メールの手口

Posted by admin

以前このブログのどこかに書いたような・・・見つからないのでもう一度書き直します。

メールには、送信者や送信元の情報などを表すヘッダー情報が含まれています。

ヘッダはひとかたまりのテキストデータになっています。この中の、自分自身のメールアドレスは勿論、宛先、件名などのメールの送信に必要な情報は、メールヘッダとして扱われます。一般的なメールヘッダ、特に送信時に一番最初につけられるそのメールそのものの情報は、自由に設定することができます。つまり、本来の情報ではないものに偽装して送信することも可能です。

送信者個人を特定する情報に関しても、送信者の意思により簡単に変更できてしまいます。またBCCを利用することで、本来の宛先を隠したままメールを送信することもできます。例えば、TO:sample@12345.com, BCC:abc@acbdef.com として送信されたメールは、abc@abcdef.com に届いても、sample@12345.com宛のメールが着たようにしか見えません。

昨今の殆どのウィルスメールや迷惑メールは、これらの偽装方法を利用し、差出人や宛先さえも本来のものではないまま無差別に送信されています。

ヘッダ情報の確認方法

ヘッダー情報は、メールツールより容易に確認できます。怪しいと思ったら確認してみるとよいでしょう

Outlook Expressの場合
受信トレイなどにあるメールを右クリックして[プロパティ]→[詳細]（このメッセージのインターネットヘッダー）でヘッダ情報を見ることができます。
Thunderbirdの場合
メニューから[表示]→[ヘッダ]→[すべて]を選択するとヘッダ情報を見ることができます。
ヤフーメールの場合
ログイン後、メールを表示し、[詳細ヘッダー]というリンクをクリックするとヘッダ情報を見ることができます。
Hotmailの場合
以前はヘッダ情報の設定がありましたが、現在はないようです。
Gmailの場合
ログイン後、メールを表示するとメールに▼ボタンがあり、これをクリックし、[メッセージのソースを表示]を選択するとヘッダ情報を見ることができます。

以下はメールヘッダの例です。

	Return-Path: <xxxxx@testtest.com>
	X-Original-To: 00000@sample.jp
	Delivered-To: 11111@sample.jp
	Received: from smtp16.mail.bbt.yahoo.co.jp (smtp16.mail.bbt.yahoo.co.jp [202.93.83.109])
		by sample.jp with SMTP id 6122A25ED23
		for <00000@sample.jp>; Tue, 13 Sep 2005 15:06:59 +0900 (JST)
	Received: from unknown (HELO PC NAME) (219.110.000.00 with poptime)
	  by smtp16.mail.bbt.yahoo.co.jp with SMTP; 13 Sep 2005 06:06:43 -0000
	Message-ID: <20050913xxxxxxxxx@dbulks02.yahoo.co.jp>
	From: sample <sample@testtest.com>
	To: <00000@sample.jp>
	Reply-To: zzzzz@testtest.com
	Subject: test
	Date: Tue, 13 Sep 2005 15:06:38 +0900
	MIME-Version: 1.0
	Content-Type: text/plain;
		format=flowed;
		charset="iso-2022-jp";
		reply-type=original
	Content-Transfer-Encoding: 7bit
	X-Mailer: Microsoft Outlook Express 6.00.2900.2527

確認するのは「received」という部分です。メールツールには「From」の情報が送信者として表示されますが、これはメール送信時に簡単に書き換えができます。

receivedには経由したサーバのIPアドレス、ドメイン名、送信元のIPアドレス、ドメイン名などが記録されます。

経由したサーバの数だけReceivedに記録されます。
一番下のReceivedが送信元で、一番上のReceivedが自分のメールサーバです。
下から順に経由したサーバが記録されます。
送信先の情報を確認するには、「received」の中の特にfromの[ ]カッコ内のIPアドレスが重要です。
以下のような書式で書かれています。

Received: from 送信したパソコン名またはホスト名など (右記のIPアドレスのホスト名[送信したコンピュータのIPアドレス])
    by 受け取ったサーバ名 with SMTPなどの転送方法 id 転送時のID番号
    for 宛先のメールアドレス; 処理時刻

以下例では、from ocn.ne.jp ([61.233.184.140])の部分は、61.233.184.140が中国のIPですが、from ocn.ne.jpとなっています。中国の回線で接続し、ocn.ne.jpというメールサーバを使って送信すれば、このようなヘッダになりますが、ocn.ne.jpというメールサーバは存在しないので、サーバ名をocn.ne.jpに偽装して送信していると思われます。

Received: from ocn.ne.jp ([61.233.184.140])
	by rcpt-impgw.biglobe.ne.jp (kmfn/1311190705) with SMTP id j8TNJVv3017860
	for <test@biglobe.ne.jp>; Fri, 30 Sep 2005 08:19:31 +0900 (JST)

以下の例では、bgmgate1.biglobe.ne.jp の部分が偽装されているように見えますが、bgmgate1.biglobe.ne.jp というメールサーバは存在します。

Received: from bgmgate1.biglobe.ne.jp (p1163-ipbf615marunouchi.tokyo.ocn.ne.jp [222.149.232.163])
	by rcpt-impgw.biglobe.ne.jp (kmfn/1311190705) with SMTP id j8TM9IdZ010976
	for <test@biglobe.ne.jp>; Fri, 30 Sep 2005 07:09:18 +0900 (JST)

通常のメールの場合、

①送信者コンピューター → ②送信メールサーバー → ③相手受信メールサーバー

という形になります。なので、上記確認手順により、送信者のIP情報を割り出すことが出来ます。

しかし特殊な方法で①～②の部分を出さずにあたかも③の相手受信メールサーバーが送信者であるかのように装うウィルスメール／迷惑メールも多数存在します。

参考）ＰＣ遠隔操作ウィルス事件　写真に含まれるExif情報から位置情報を割り出し

基本的にはreceivedに記載のあるIPアドレスのみに注目し、nslookupコマンドなどで、そのIPアドレスのドメイン名を逆引きすれば、そのIPがどこのドメインに属するのかを把握でき、大体の送信元も推測することができます。

逆引きツール IPドメインSEARCH

参考）自分でお手軽にProxyサーバーを設置（IPアドレス偽装）　～ CGI PROXY

例）中国動画サイトのIP

あなたが検索されたIPアドレス［ 211.151.146.19 ］の企業名・団体名は以下の通りです。

#
# Query terms are ambiguous. The query is assumed to be:
# “n 211.151.146.19″
#
# Use “?” to get help.
##
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=211.151.146.19?showDetails=true&showARIN=false&ext=netref2
#

NetRange: 211.0.0.0 – 211.255.255.255
CIDR: 211.0.0.0/8
OriginAS:
NetName: NET-211
NetHandle: NET-211-0-0-0-1
Parent:
NetType: Allocated to APNIC
Comment: This IP address range is not registered in the ARIN database.
Comment: For details, refer to the APNIC Whois Database via
Comment: WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment: ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment: for the Asia Pacific region. APNIC does not operate networks
Comment: using this IP address range and is not able to investigate
Comment: spam or abuse reports relating to these addresses. For more
Comment: help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate: 1996-07-01
Updated: 2010-08-02
Ref: http://whois.arin.net/rest/net/NET-211-0-0-0-1

OrgName: Asia Pacific Network Information Centre
OrgId: APNIC
Address: PO Box 3646
City: South Brisbane
StateProv: QLD
PostalCode: 4101
Country: AU
RegDate:
Updated: 2012-01-24
Ref: http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgAbuseHandle: AWC12-ARIN
OrgAbuseName: APNIC Whois Contact
OrgAbusePhone: +61 7 3858 3188
OrgAbuseEmail: search-apnic-not-arin@apnic.net
OrgAbuseRef: http://whois.arin.net/rest/poc/AWC12-ARIN

OrgTechHandle: AWC12-ARIN
OrgTechName: APNIC Whois Contact
OrgTechPhone: +61 7 3858 3188
OrgTechEmail: search-apnic-not-arin@apnic.net
OrgTechRef: http://whois.arin.net/rest/poc/AWC12-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 211.151.0.0 – 211.151.255.255
netname: CHINA-21VIANET
descr: 21ViaNet(China),Inc.
country: CN
admin-c: ML1808-AP
tech-c: BW667-AP
status: ALLOCATED PORTABLE
mnt-lower: MAINT-CN-21VIANET
mnt-routes: MAINT-CNNIC-AP
mnt-by: MAINT-CNNIC-AP
mnt-irt: IRT-CNNIC-CN
changed: ipas@cnnic.cn 20081030
changed: ipas@cnnic.net.cn 20110311
changed: ipas@cnnic.net 20121017
source: APNIC

route: 211.151.128.0/18
descr: CHINA-ABITCOOL
descr: Abitcool(China) Inc.
country: CN
origin: AS17428
mnt-by: MAINT-CNNIC-AP
changed: ipas@cnnic.net.cn 20040213
source: APNIC

person: Yang Jun
address: No. 15 Tongji Road,Yizhuang Economic and Technological Development Zone,Beijing, PRC 100176
country: CN
phone: +86-10-84562121
fax-no: +86-10-84564234
e-mail: abuse@21viamail.com
nic-hdl: ML1808-AP
mnt-by: MAINT-CNNIC-AP
changed: ipas@cnnic.cn 20121017
source: APNIC

person: Cao Wentao
address: No. 15 Tongji Road,Yizhuang Economic and Technological Development Zone,Beijing, PRC 100176
country: CN
phone: +86-10-84562121
fax-no: +86-10-84564234
e-mail: abusemail2012@gmail.com
nic-hdl: BW667-AP
mnt-by: MAINT-CNNIC-AP
changed: ipas@cnnic.cn 20121017
source: APNIC

2 Comments

DarwinJuicy says:
2018年7月23日 at 4:09 PM

Hello. I see that you don’t update your website
too often. I know that writing posts is boring and time consuming.
But did you know that there is a tool that allows you to create
new posts using existing content (from article directories or other websites
from your niche)? And it does it very well. The new posts are high quality and pass the copyscape
test. You should try miftolo’s tools

返信
poker texas boyaa says:
2018年10月11日 at 4:56 AM

I have been exploring for a little bit for any high quality articles
or weblog posts on this sort of area . Exploring in Yahoo I
at last stumbled upon this site. Studying this information So i’m happy to exhibit
that I have an incredibly good uncanny feeling I discovered exactly
what I needed. I so much indisputably will make certain to do not put out of your
mind this website and provides it a look on a continuing basis.

返信