★阿修羅♪ 現在地 HOME > IT7 > 509.html
 ★阿修羅♪
次へ 前へ
本当のメールアドレスを偽って送信した、迷惑メール発信元をつきとめる方法 (ネットトラブル撃退法)
http://www.asyura2.com/0411/it07/msg/509.html
投稿者 愚民党 日時 2005 年 3 月 20 日 16:07:13: ogcGl0q1DMbpk
 


--------------------------------------------------------------------------------

メールの発信元をつきとめる方法

--------------------------------------------------------------------------------

 ダイレクトメールの中には、本当のメールアドレスを偽って送信したものがある。このメールの本当の送信元となったプロバイダーやネットワークを突き止めるための唯一の手がかりは、受信メールのヘッダー情報だ。ここではヘッダー情報から送信元を突き止める方法を手順を追って解説する。

(1)メールヘッダー情報を表示する

 メールソフトを使って、受信したメールのヘッダー情報を表示させる。Outlook Express 5 Windows版の場合は、メールリストから表示させたいメールを右クリックで選び右クリックメニューから「プロパティ」を選ぶ。続いてプロパティウィンドウの「詳細」タブをクリックするとヘッダー情報が表示される。Mac版Outlook Express 5の場合はメッセージを選んでタイトルメニューの「表示」→「ソース」を選ぶと表示される。

(2)偽装されたメールアドレスかどうかを判断する

 まず、送信者のメールアドレスが偽装されたものかどうかを判断する必要がある。このためには、ヘッダー情報の「Received:」欄をチェックする。

Received: from smtp5.dti.ne.jp (smtp5.dti.ne.jp [202.216.228.40])
     by receiver.xxxx.com (8.9.1/8.9.1) with ESMTP id EAA07652;
      Fri, 31 Mar 2000 04:11:18 +0900 (JST)
Received: from pcg-c1s (PPP15.tokyo-pias.dti.ne.jp [210.170.145.245])
     by smtp5.dti.ne.jp (8.9.3/3.7W) with SMTP id DAA04090;
     Fri, 31 Mar 2000 03:56:28 +0900 (JST)
X-Sender: ring@pop.fides.dti.ne.jp

 これは「ring@fides.dti.ne.jp」という差出人から送られてきたアダルト関連のダイレクトメールだ。ヘッダー情報の「Received:」欄には受信したメールがどのサーバーを経由して送信されたのかが書かれている。
 「Received:」は「from A by B for C」(AからBによってC宛てに受信した)という形で記述される。このCは省略されることがあるが、このメールを受信した人(つまり本人)のことだ。また、2つの「Received:」情報が記載されている場合、時間的に新しいものから記載される。
 差出人はDTIというプロバイダーの東京のアクセスポイントに接続してそのまま送信している。これを翻訳すると、

 「smtp5.dti.ne.jp」から「receiver.xxxx.com」宛てにメールが送信された。
 「PPP15.tokyo-pias.dti.ne.jp [210.170.145.245]」から、SMTPメールサーバー「smtp5.dti.ne.jp」というメールサーバーによって送信された。


 ということが書かれている。つまり、「PPP15.tokyo-pias.dti.ne.jp [210.170.145.245]」→「smtp5.dti.ne.jp」→「receiver.xxxx.com」という形で送信されているわけだ。送信者の利用したアクセスポイントは「PPP15.tokyo-pias.dti.ne.jp [210.170.145.245]」である。
 これこそ典型的な生メールアドレスで、何の隠蔽工作もしていないようだ。このようなヘッダーを見るにつけ、差出人はよっぽど無知なのか、それとも盗んだIDでメールを送信しているのか、と思ってしまう。

 それでは、次の例はどうだろう。

Received: from mail.net-clic.net (mail.net-clic.net [212.155.109.7])
by xxx.mydomain.com (8.9.1/8.9.1) with ESMTP id HAA04661;
Sun, 30 Jul 2000 07:13:34 +0900 (JST)
Received: from smtp.indiatimes.com
    (ip89.ann-arbor4.mi.pub-ip.psi.net [38.27.133.89])
by mail.net-clic.net (8.8.7/8.8.7) with SMTP id AAA25505;
Sun, 30 Jul 2000 00:08:49 +0200


 これは「freetv16@indiatimes.com」という送信者から「xxx.mydomain.com」(仮)に送られてきた英文のダイレクトメールのヘッダー情報だ。「Received:」ヘッダーの最初のものは「mail.net-clic.net」から、受信者のネットワークへ送信されたという記述だ。次は「smtp.indiatimes.com」から「mail.net-clic.net」に送信したと書かれている。
 これは一見「smtp.indiatimes.com」というメールサーバーを利用して送信されたように思えるが、「smtp.indiatimes.com」の次のカッコ内には「38.27.133.89」というIPアドレスをドメイン変換した「ip89.ann-arbor4.mi.pub-ip.psi.net」と、異なったドメイン名になっている。これはかなり怪しいと判断しなければならない。この送信者は「indiatimes.com」ではなく「psi.net (38.27.133.89)」から「mail.net-clic.net」を経由して送信した可能性が高い。
 つまり「ip89.ann-arbor4.mi.pub-ip.psi.net [38.27.133.89]」→「mail.net-clic.net」→「xxx.mydomain.com」と推測される。「freetv16@indiatimes.com」はやはり怪しいのだ。

 これまでの調査で判明した「psi.net」と「net.clic.net」がどのようなネットワークなのかを「IPドメインSEARCH」(http://www.mse.co.jp/ip_domain/index.shtml)にアクセスして調べてみることにしよう。
 まず、psi.netのIPアドレス「38.27.133.89」を入力して「IPドメインSEARCH」ボタンをクリックすると「Performance Systems International (NET-PSINETA) 」と表示される。ここで詳細データ検索」をクリックすると、アメリカの大手プロバイダー「PSINET」であることがわかる。ドメインが「psi.net」だから、そのホームページは「http://www.psi.net/」だ。
 次に「net-clic.net」を同じ要領で調べてみると、フランスのリヨン市にある会社であることがわかった。この正体を知るために「http://www.net-clic.net」にアクセスしてみると、自動的に「http://www.netclic.fr/home/homea.shtml」というホームページに転送された。表示されたページからはフリーメールサービスを提供していることが判明した。また、「indiatimes.com」はインド系総合ポータルサイトで、こちらもフリーメールサービスを提供していることがわかった。
 以上の調査で、送信者はPSINETの接続サービスを利用する者が「freetv16@indiatimes.com」というフリーアカウントでフランスのnet-clic.netのメールサーバーを経由して送信したということが判明した。
 ここで最も重要な情報はPSINetのアクセスポイントだ。PSINetアメリカ国内のアクセスポイントの場合、「ip89.ann-arbor4.mi.pub-ip.psi.net」の「ann-arbor」はアクセスポイントの所在地で「mi」はミシガン州を示している。アメリカの地図情報を利用して調べてみると、ミシガン州デトロイトの郊外に「Ann arbor」という街がある。どうやら、送信者はここからダイレクトメールを送ったらしい。

(5)ネットワークサービスに問い合わせる

 メールのヘッダー情報からわかるのはここまでである。「ip89.ann-arbor4.mi.pub-ip.psi.net」というアクセス元が本当にどこなのか、そこからアクセスしたユーザーが誰なのかを知っているのはPSINetだけだ。ここから先は、PSINetに直接相談して協力を要請しなければならない。なお、相談の際は必ず受信したメールとヘッダー情報を添付した方が良いだろう。
 なお、この例のように送信元が海外の場合英文メールを作成する必要がある。少々おっくうに思えるが、英語のできる知人に頼んでプロバイダーの協力が得られるよう頑張ってみよう。なお、日本語のダイレクトメールのほとんどは日本のプロバイダーやネットワークから発信・中継されたものだ。この場合は、比較的簡単に連絡を取ることができるだろう。
 ただし、インターネットプロバイダーは単に「誹謗中傷されたから」「SPAMが送られてきたから」という理由だけでは、なかなか情報を公開してくれないのが現実だ。しかし、実際に被害が発生しており、警察に被害届も出しているという前提であれば、協力してもらえる可能性は高いだろう。


http://www.aerovision.jp/protect/0412.html



TOP
ネットトラブル撃退法
http://www.aerovision.jp/protect/

 次へ  前へ

▲このページのTOPへ      HOME > IT7掲示板



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。