7月に入ってから、うちの学校のウイルスチェックを突破してくる迷惑メール、というかウイルス付きメールが増えています
まあ、メールヘッダをみると、怪しいと思うんですけどね
というわけで、メールヘッダの見方というか偽装の見破り方についてです
以下は、私に届いたメールのメールヘッダです。あ、@ に関しては、[ATMARK]に置き換えてあります
===== ここから =====
Return-Path:
X-Original-To: kosuge[ATMARK]jec.ac.jp
Delivered-To: kosuge[ATMARK]jec.ac.jp
Received: from mailgw.jec.ac.jp (mailgw.jec.ac.jp [218.45.210.172])
by mail.jec.ac.jp (Postfix) with ESMTP id 67C8920A803C;
Fri, 13 Aug 2010 10:36:24 +0900 (JST)
Received: from mailgw.jec.ac.jp (localhost.localdomain [127.0.0.1])
by localhost (Postfix) with ESMTP id 0A893B98038;
Fri, 13 Aug 2010 10:36:24 +0900 (JST)
Received: from CUENEXYLXW (unknown [222.113.143.186])
by mailgw.jec.ac.jp (Postfix) with ESMTP id 5A443B98034;
Fri, 13 Aug 2010 10:36:23 +0900 (JST)
Received: from static-242.service.govdelivery.com (smailer1.service.govdelivery.com [208.42.190.242])
by rmx1.grp.vip.re1.yahoo.com with ESMTP id r2dm94288884twz.637.2010.08.12.29.46.44;
Fri, 13 Aug 2010 10:35:57 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_36C_9943_01CB3A87.E07BD940"
Message-ID: <0167370113303.3238099328.852242315.bulletin.tomcat5[ATMARK]prod-batch1.visi.gdi>
Subject: In USA on August 15 and 16
Date: Fri, 13 Aug 2010 10:35:57 +0900
To: koshin[ATMARK]jec.ac.jp
From: "Orlando Carrillo"
X-TM-AS-Product-Ver: IMSS-7.0.0.1640-6.0.0.1038-17566.003
X-TM-AS-Result: No--31.258-4.5-31-1
X-imss-scan-details: No--31.258-4.5-31-1;No--31.258-5.0-31-1
X-TM-AS-Result-Xfilter:
Match text exemption rules:No;Match text exemption rules:No
===== ここまで =====
このメールヘッダのなかで重要なのは、Received: で始まる行です
ええと、知っている人は知っていると思いますが、現在では、送信元のメールサーバから、宛先のメールサーバに直接送られてくるのが普通ですが、昔、メールはメールサーバ間のバケツリレーで目的の場所まで転送されていました。その名残りが、
Received: で始まる行に残っています。このReceived:は、メールサーバを1つ経由する事に、経由したメールサーバが1つ追加します。そして、上に行くほど新しいものになります
で、このReceived:の行(上の例では3行分)のフォーマットは以下の様になります。
Received: from 送信してきたメールサーバの自称 (実際のIPアドレスの逆引き結果 [実際のIPアドレス])
by 受信したメールサーバの名前 with プロトコル名 id メールのID;
受信時間
ここで注目すべきは、from の直後と、by の直後です。この部分が偽造されていなければ、下から上に向かってバケツリレー式に送られてくるはずです
Received: from C1 (C2 [C3])
by D with プロトコル名 id メールのID;
受信時間
Received: from B1 (B2 [B3])
by C with プロトコル名 id メールのID;
受信時間
Received: from A1 (A2 [A3])
by B with プロトコル名 id メールのID;
受信時間
って感じで、つながるはずです。もちろん、x1 と x2 は、同じであることが望ましいですし、x3を逆引きした結果が x1 になって入れば、申し分ないわけです。ところが、このReceived:の下の2行を見てみるとですね
Received: from CUENEXYLXW (unknown [222.113.143.186])
by mailgw.jec.ac.jp (Postfix) with ESMTP id 5A443B98034;
Fri, 13 Aug 2010 10:36:23 +0900 (JST)
Received: from static-242.service.govdelivery.com (smailer1.service.govdelivery.com [208.42.190.242])
by rmx1.grp.vip.re1.yahoo.com with ESMTP id r2dm94288884twz.637.2010.08.12.29.46.44;
Fri, 13 Aug 2010 10:35:57 +0900
まず、このメールは、下のReceived:を見ると、static-242.service.govdelivery.com (smailer1.service.govdelivery.com [208.42.190.242])ってクライアントから、rmx1.grp.vip.re1.yahoo.com ってメールサーバに送られているってことが分かります。しかし下から2番目のReceived:では、CUENEXYLXW (unknown [222.113.143.186])ってところから、mailgw.jec.ac.jp(これはうちの学校のメールサーバです)に送られていることが分かります。mailgw.jec.ac.jp ってのはうちのメールサーバだから、これは信用してよい
ってことは、うちのメールサーバは、CUENEXYLXW (unknown [222.113.143.186])ってところから、このメールを受け取ったことは確かなんですが、そのまえ、すなわち一番下のReceived:は、メールの送り手によって、偽装された可能性がとっても高いってことになります
まあ、自称「CUENEXYLXW」で、実際、IPアドレスから逆引きしてみると、222.113.143.186は、unknown、すなわち逆引きできなかったという時点でかなり怪しい
すなわちですね。このメールは、tatic-242.service.govdelivery.com (smailer1.service.govdelivery.com [208.42.190.242])ってコンピュータから送られたことになってますが、実際はCUENEXYLXW (unknown [222.113.143.186])が送ったってことです
ええと、実際の送信者ですが、CUENEXYLXW (unknown [222.113.143.186])ってことになってますが、このIPアドレスをwhois データベースで調べてみると
$ whois 208.42.190.242
[Querying whois.arin.net]
[whois.arin.net]
#
# Query terms are ambiguous. The query is assumed to be:
# "n 208.42.190.242"
#
# Use "?" to get help.
#
#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=208.42.190.242?showDetails=true&showARIN=false
#
NetRange: 208.42.0.0 - 208.42.191.255
CIDR: 208.42.0.0/17, 208.42.128.0/18
OriginAS:
NetName: VECTOR-BLK2
NetHandle: NET-208-42-0-0-1
Parent: NET-208-0-0-0-0
NetType: Direct Allocation
NameServer: NS.VISI.COM
NameServer: NS2.VISI.COM
Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
RegDate: 1999-07-16
Updated: 2005-04-29
Ref: http://whois.arin.net/rest/net/NET-208-42-0-0-1
OrgName: Vector Internet Services, Inc.
OrgId: VECT
Address: 10290 W 70th St
City: Eden Prairie
StateProv: MN
PostalCode: 55344
Country: US
RegDate: 1996-08-26
Updated: 2008-11-26
Ref: http://whois.arin.net/rest/org/VECT
ってことですから、「アメリカ」の「デラウエア州」にある「Eden Prairie」って街の「10290 W 70th St」って住所にある「Vector Internet Services, Inc.」って会社が持っているIPアドレスなんですけど、この会社はプロバイダー見たいです。わたしみたいな人間に簡単に特定されちゃっているので、このIPアドレスを持っているホストって、きっとそのプロバイダのユーザのパソコンで、そのパソコンは、ボットに感染させられて、どっかからリモートで操作されているんだと思います
これ、日本のパソコンなら、プロバイダに連絡して注意してあげるんだけど、アメリカじゃいいかぁってかんじです
実際に、このメール添付されてきたファイルには、Tojanほにゃららって、トロイの木馬がついていました。まあ、いまどきこんなメールをもらって、開いちゃう人っていないと思いますけど。
あ、うちのサーバのSSHポートに対する不正侵入の試みも、すごい活発です。夏休みのせいでしょうね。
0 件のコメント:
コメントを投稿