|
|
スパムメール料理法
by spaham
検索
カテゴリ
以前の記事
おすすめキーワード(PR)
ファン
|
|
山田です。
さて、今回からスパムメールの解析料理編です。
解析料理の料理人は、私のマスコットが担当します。
彼の名前はスパァーム(Spaham)君です。
--
「スパァーム君の紹介」
スパァーム君は、スパムメールが大嫌いです。何故なら、大好きなメル友のスパ子ちゃんのメールがスパムに埋もれてしまうからです。おまけに時々ウィルスメールにも感染し、寝込むこともありました。何と彼の1日のスパム数は軽く数百通を超えていたのです。そして数ヶ月間の猛勉強のおかげで、彼はスパムメールの解析ができるレベルに達したのです!
--
「解析料理:かやのメール」
さあて、スパムメールをどうやって減らすかなぁ。まずは日本国内から発信しているスパムメールから退治していきましょう。今回は、ASLさんが引っ掛かった「かやのメール」から見ていくかな。
*** ヘッダを見る
ASLさんのプロバイダはIIJ4U、.Macに個人と仕事用のメールアドレスを持っています。.Macのウェブメールは使わずにIIJ4Uのメールアカウントに転送しています。今回の例では「スパム業者 -> *****@mac.com -> %%%%%@ss.iij4u.or.jpという経路でメールが送られています。
「かやのメール」をファイルとして保存して、それを適当なエディタで開いてみましょう。
(ラップして読みづらい場合は、エディタにコピーしてご覧下さい)
%%%%%: ASLの IIJ4U ID
*****: ASLの .Mac ID
「X-UIDL: 1092377948.29668.98bc5235ffa7dc0
X-Mozilla-Status: 0003
X-Mozilla-Status2: 00000000
Return-Path:
Received: from mdi02.iij4u.or.jp (mdi02.iij4u.or.jp [210.130.0.160])
by m-ss.iij4u.or.jp (8.8.8/PM01) with ESMTP id PAA29662
for <%%%%%@ss.iij4u.or.jp>; Fri, 13 Aug 2004 15:19:07 +0900 (JST)
Received: 4UMDI02 id i7D6J7YC005079; Fri, 13 Aug 2004 15:19:07 +0900 (JST)
Received: 4UMII02 id i7D6J7R6004859; Fri, 13 Aug 2004 15:19:07 +0900 (JST)
Received: from smtpout.mac.com (smtpout.mac.com [17.250.248.97])
by mi01.iij4u.or.jp (8.13.1/8.13.1/MI) with ESMTP id i7D6J2o0015802
for <%%%%%@ss.iij4u.or.jp>; Fri, 13 Aug 2004 15:19:03 +0900 (JST)
Received: from mail42-ce1 (mail42-ce1 [10.13.9.42])
by smtpout.mac.com (Xserve/MantshX 2.0) with ESMTP id i7D6IvJd008530
for <%%%%%@ss.iij4u.or.jp>; Thu, 12 Aug 2004 23:18:57 -0700 (PDT)
Received: from mac.com (smtpin16-en2 [10.13.11.244])
by ms42.mac.com (iPlanet Messaging Server 5.2 Patch 2 (built Jul 14 2004))
with ESMTP id <0I2D00MMKG7KDF@ms42.mac.com> for %%%%%@ss.iij4u.or.jp
(ORCPT *****@mac.com); Thu, 12 Aug 2004 23:18:56 -0700 (PDT)
Received: from localhost.localdomain
(36.158.150.220.ap.yournet.ne.jp [220.150.158.36])
by mac.com (Xserve/smtpin16/MantshX 4.0) with SMTP id i7D6Isr8027939 for
<*****@mac.com>; Thu, 12 Aug 2004 23:18:55 -0700 (PDT)
Received: from localhost ([127.0.0.1]) by localhost.localdomain with SMTP id
rad1197539 for <*****@mac.com>; Fri, 13 Aug 2004 15:18:35 +0900
Date: Fri, 13 Aug 2004 15:18:35 +0900
From: yamamoto kayano
Subject: メールもらったので返信しました
To: *****@mac.com
Reply-to: yamamoto kayano
Message-id:
MIME-version: 1.0
Content-type: text/plain; charset=ISO-2022-JP
Content-transfer-encoding: 7BIT
私のパソコンに件名も本文も書いていないメールが来たので
とりあえず返信してみました。どちら様でしょうか?
私は山本と申します。間違いだったらごめんなさい」
しかし、まあASLさんもこんなスパムメールに騙されるようじゃ、話にならんな。本人は「メールヘッダを確認して、送信元が yahoo.co.jpの SMTPサーバを使っていなかったので、スパムだろうと思っていた」などとほざいていたけど、本当は「かやのちゃん」とメル友になりたかったんじゃないのかなあ:)
話がそれたけど、皆さんは電子メールのメールヘッダを眺めたことがありますか?メールソフトの中からメールヘッダを見れる場合もあるし、Mozilla / Netscapeの場合のように、ファイルとして保存しないと全て見れないソフトもあります。
メールヘッダについて簡単に説明すると「いつ」「誰から」「誰に」「何の話題で」「どのような経路で」送られたかがわかります。
「いつ」:「Date: Fri, 13 Aug 2004 15:18:35 +0900」あららASLさん、13日の金曜日だよ。これじゃ、いいことないわけだね。
「誰から」:「From: yamamoto kayano 」yahoo.co.jpにアカウントを持っている「かやのちゃん」ということです。但し、これは嘘をつけるので「どこどこの大統領」などとも簡単に詐称できます。
「誰に」:「To: *****@mac.com」ASLさんの仕事用.Macの電子メールアカウント。これも嘘をつけるので、自分のメールアドレスでないこともあります。
「何の話題で」:「Subject: メールもらったので返信しました」
「どのような経路で」:「Received: ...」これは複数個あるので、後で説明します。
他にもいろいろおまけがあるのですが、ここでは省略します。
*** 何故スパムメールが届くようになったのか
まず「スパムメールをどうすれば減らせるか」の前に「何故スパムメールが届くようになったのか」を考えましょう。
よくあるパターンとして
1.自分のせいで
脆弱性のあるブラウザ・メーラ・その他のソフト(トロイの木馬型を含む)を使ってしまい、自分のシステムに侵入され、個人情報を盗まれた。
2.友達のせいで
友人・知人がウィルス・ウォームに感染し、アドレス帳の友人・知人にスパム・ウィルスメールを送って知れ渡った。(もしくはそのメールアドレスをどこかのサーバに送り、収集された)
3.会社のせいで
自分の個人情報を管理するサイトがクラックされ情報が盗まれた(企業の個人情報流出事件等のパターン)もしくはメールアドレスを違う業者に販売した。
などが考えられます。ウィンドウズユーザは1−3全てに、マックユーザは1を除く2−3に該当することが多いでしょう。
まずは、スパムメールがこれ以上増えないように上記の3点をしっかり押さえ、自分のメールアドレスをスパム業者に知らせないよう気をつけましょう。
*** スパムメールをどうすれば減らせるか
さて、次は「スパムメールをどうすれば減らせるか」です。
スパムメールを「日本国内から発信」と「海外から発信」される2つのタイプに分類することにします。この講義では、前者の「日本国内からの発信」に絞り、プロバイダに通報することでスパムメールを減らします。「海外から発信」されるスパムメールの対処方法については議論しないことにします。(簡単に紹介はします)
では、どうすれば発信先の場所を知ることができるのでしょうか。さきほど紹介した「どのような経路で」の情報の中には、IPアドレスの情報が含まれます。インターネット上のIPアドレスがわかれば、traceroute / whoisというツールや、ウェブの情報検索サイトを使えば、発信元をある程度特定できるのです。
「どのような経路で」の情報の中を見ていきましょう。
例えば Aから B経由で Cにメールが送られたとします。その場合
A -> B -> Cは、
Received: from B by C
Received: from A by B
のような Received:ヘッダが上記のような順番で付け加えられていくのです。今回の例では、Aはメール発信元(スパム業者のプロバイダ)、Bは途中のメール中継サイト(.Mac)、Cはメール受信者のプロバイダ(IIJ4U)ということになります。
Received:ヘッダには、DNS名やIPアドレス、時刻が含まれています。
フォーマットは、
Received: from A_DNS_NAME (A_REVERSE_DNS_NAME [A_IP_ADDRESS]) by B_DNS_NAME (B_REVERSE_DNS_NAME [B_IP_ADDRESS]) with SMTP id SMTP_ID for MAIL_ADDR;DATE
です。ややこしくなっていますが、Aから Bへメールが送られた時に、DNS名の他にリバースDNS名とIPアドレスが加えられることがあります。これは必須ではなく、信頼できるサイトの場合は、()の中は省略される場合があります。
では、今回のメールヘッダ内の Received:を見て下さい。Received:ヘッダは、全部で8個ありますね。発信元の方(一番最後の Received:)から見ていきましょう。
- スパム業者のメールサーバマシン内でメールを送信した時のヘッダです。
Received: from localhost ([127.0.0.1]) by localhost.localdomain with SMTP id
rad1197539 for <*****@mac.com>; Fri, 13 Aug 2004 15:18:35 +0900
Received:ヘッダはスパム業者が嘘をついていることもあります。信頼できる中継サイト・プロバイダの所までは、あまり信用してはいけません。
- スパム業者から中継サイト(.Mac)へメールが転送された時のヘッダです。
Received: from localhost.localdomain
(36.158.150.220.ap.yournet.ne.jp [220.150.158.36])
by mac.com (Xserve/smtpin16/MantshX 4.0) with SMTP id i7D6Isr8027939 for
<*****@mac.com>; Thu, 12 Aug 2004 23:18:55 -0700 (PDT)
*** ここが一番重要なヘッダなのです *** スパム業者から信頼のおける.Mac中継サイトに送られた時に、どのIPアドレスから発信されたのかを見てみましょう。
上記の例では「私は localhost.localdomainです」と申請していますが、実際は ()の中の 36.158.150.220.ap.yournet.ne.jp [220.150.158.36]から発信されたのがわかります。そう、この 220.150.158.36が発信者の使ったSMTPサーバのIPアドレスです。
(場合によっては、踏み台(中継サイト)の場合がありますが、スパムメールを中継しているということ自体、スパムメールを容認・助長していることになり、報告対象となるでしょう)
*** 発信元の情報を得る
さて、これでIPアドレスがわかりました。このIPアドレスが日本国内で管理されているのか、それとも海外なのかをつきとめましょう。
ここでは、Mac OS Xのターミナルを立ち上げて、whoisツールを使って調べることにします。
% whois 220.150.158.36
...
inetnum: 220.150.0.0 - 220.150.255.255
netname: FB-NET
descr: FreeBit Co.,LTD.
country: JP
admin-c: AI368JP
tech-c: TI151JP
remarks:
...
changed: apnic-ftp@nic.ad.jp 20040922
source: JPNIC
かなり多くの情報が表示されますので、一部を紹介します。大抵の場合、初めに表示されるのは、全世界のどこの管轄下なのか(アジア・ヨーロッパ・アメリカなど)がわかり、一番最後には、IPアドレスの登録者もしくは管理しているプロバイダが表示されます。
上記の例では、日本国内のプロバイダの FreeBit Co.,LTD.が、このIPアドレスを管理していることがわかりました。
!!!
ここで気をつけていただきたい点は、ごく一部のスパム業者はプロバイダとして登録している場合があります。見分け方として、聞いたことのないプロバイダ名・登録IPアドレス範囲がとても少ない(1000以下)場合などです。この場合は、プロバイダ <-> スパム業者の個人情報のアイソレーションができませんので、通報すべきではありません。上記のように256 * 256=65536のIPを管理しているような巨大プロバイダの場合のみ通報しましょう。
!!!
*** プロバイダに通報する
では、次に FreeBit Co.,LTD.にどうやってスパムメールを通報すれば良いのでしょうか。今回はプロバイダのホームページにあるスパムメール通報用ページを使う方法を紹介します。
皆さんもご存知の Google http://www.google.co.jp/ を使ってホームページを探してみましょう。"FreeBit Co.,LTD."で検索してみると、一番初めに http://www.freebit.com/ が表示されているはずですので、これをクリックします。
右上の「お問い合わせ」をクリックすると、テーブルの一番下から2番目に「当社管理のIPアドレスからの迷惑行為へのお問い合わせ」がありますので「お問い合わせフォーム>>」をクリックします。
「当社管理ネットワークにおける迷惑行為に関するお問い合わせはこちらまで。」をクリックして「弊社管理IPアドレスから迷惑メールがおくられてきた方」をクリックすると、フォーム入力のページが表示されますので、これを使って通報します。
「あなた様のお名前」(必須)
「あなた様のメールアドレス」(必須)
「あなた様のメールアドレス」(必須)(確認)
「その他希望の連絡方法」(任意)
「ホスト名あるいはIPアドレスと時刻」(必須)
「メールヘッダを含む メール全文をお送りください」(必須)
「備考」(任意)
のフィールドがありますので、これらを入力します。「ホスト名あるいはIPアドレスと時刻」の入力に悩まれるかもしれませんが、上記の「*** ここが一番重要なヘッダなのです ***」ヘッダを入れて下さい。このヘッダにIPアドレスと時刻が含まれています。
通報すると、通常次の日には通報者宛に回答メールがプロバイダから届きます。もし、プロバイダから質問があれば指示に従って追加情報を提供しましょう。
通報後の顛末記は
ああスパム.1「かやのメール」
http://mixi.jp/view_diary.pl?id=1594603
をご覧下さい。
(この顛末記は「かやのちゃん」が8月25日にスパムメールを送った時に使ったプロバイダのvectant.ne.jpに、私が通報した時の話です)
これで、メル友のスパ子ちゃんとのメールの邪魔をしていたスパムメールを解析料理しちゃいました。皆さんもしぶとく送り続けてくるスパムメールのヘッダを解析して、日本国内から発信されていたら通報しちゃいましょう!
スパァームより
--
さて、いかがでしたか。粗削りな文章で、わかりづらいところがあったかもしれませんが、スパムメールを料理できそうな方は是非ヘッダを確認して通報しましょう。
hiroo
前のページ次のページ
|
|
|
