[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index][JAMSAT Home]
[jamsat-bb:13891] off topic - Re: 続 ウィルス・メール
JF6BCC 今石です。
At 2003/08/25 12:40:18 shibayama_masato wrote:
> Sobig 関連のメールであることは確かなのですが、
> タイトルが公表されているものとは異なるものがあります。
> 増えたのでしょうか。
使われる文字が内蔵されている方式でないとか、まだ報告されていな
い亜種が存在する可能性があると思います。
> 私のアドレスでどこかの誰かさん宛に迷惑メールが発信されている可能性が
> あるということですね。
十分にあります。
> まだ、どこからもクレームは来ていません。
ウィルスの仕業だとわかっていれば、クレームにならないでしょう。
逆に、ヘタにクレームをつけることは、そのウィルスの動作に対して無
知であることの証明になってしまいます。
うちには、クレームではなく、ウィルス検知ソフトや ML サービス、
あるいはファイアウォールなどが自動的に返してくる警告・応答メール
が時々来ます。ML はともかく、発信者を詐称するウィルスでは「あなた
は感染している」と言う警告は無意味なので、この機能を on にするの
はやめて欲しいものですが…。
> 7種のウィルス・メールの発信者の中に、jamsat会員からの発信メールが
> ありましたので、恐らく、その発信者以外のjamsat会員のコンピュータが
> 汚染されている可能性が高いといことでしょうか。
JAMSAT-BB 購読者とは限りません。この手のウィルスは、アドレス帳
だけでなくメール本文や html ドキュメントなど、インターネット関連
のファイルを多数参照して宛先・発信元アドレスに使えるものを抽出し
てきます。ですから、感染者のPCのアドレス帳やメールデータそのも
のだけでなく、ML 内容を Web 閲覧できるアーカイバや、どこかの Web
サイトで引用された投稿文などのキャッシュデータなどからも、抽出さ
れているかも知れません。
> もし、ひとつのコンピュータが発信源になっていると想定した場合、
> 私のアドレスと私宛にウィルス・メールを発信させられたjamsat会員のアドレスの両方が、
> アドレス帳に記載しているコンピュータが汚染されている可能性があるということでしょうか。
芝山さんが JAMSAT-BB への投稿以外に jamsat.or.jp アドレスの署名
付きメールを出していないのなら、その感染者は JAMSAT-BB 購読者であ
る可能性は高いと思います (JAMSAT "会員" であるとは限りません)。た
だ、使用アドレスの抽出元はアドレス帳だけではないので、その仮定は
限定しすぎて無意味だと思います。
具体的に感染者を特定しようとする場合は、一般のスパム追跡の手段
を使います。到着したウィルスメールのヘッダを解析し、発信元となっ
たコンピュータが使っていた IP アドレスを特定するのです。例えばつ
い先ほど、うちにはこういうのが届きました。
Return-Path: <nawlins109@yahoo.com>
Received: from NICK1 ([68.155.38.113]) by pop03.dreamnet.ne.jp with ESMTP
id <20030825033117.FRPI1632.pop03.dreamnet.ne.jp@NICK1>
for <imaishi@aa.mbn.or.jp>; Mon, 25 Aug 2003 12:31:17 +0900
From: <nawlins109@yahoo.com>
To: <imaishi@aa.mbn.or.jp>
Subject: Thank you!
<<以下略>>
コンピュータ名 NICK1 は、残念ながらウィルスが詐称したものですか
ら信頼できません。このウィルスは、自身が SMTP サーバとして振舞いま
すので、私の契約している DreamNet の SMTP サーバに対し、直接メール
を送りつけていますが、その際、DreamNet 側では発信者の IP アドレスを
記録しヘッダにつけてくれています。上記の 68.155.38.113 がそれです。
この IP アドレスを元に、DNS サーバからドメイン名を取得することを
試みます。
NSLOOKUP サービスの一例
http://www2s.biglobe.ne.jp/~cru/library/tools/nslookup.html
これで 68.155.38.113 -> adsl-155-38-113.lft.bellsouth.net だとわ
かりました。試しに www.bellsouth.net をブラウザで見てみると、それは
北米アトランタにある ISP だとわかりました。宛先に使われている
aa.mbn.or.jp は私が AMSAT-BB に投稿する時に使っていますが、AMSAT
のアーカイバの web ページは、投稿アドレスを表示しません。また現在
のところ、AMSAT 関連以外のメールは殆ど交換していません。だとすれば、
感染者は bellsouth 社の ADSL 契約者で AMSAT-BB 購読者である可能性
が高い、と見当が付きます。
ISP によっては IP アドレスを記録しなかったり、送信経路に複数パス
があったりします。DNS で名前が得られない IP アドレスであれば、オー
ナを調べる必要もありますので、上記のようにスムーズにいかないケース
が大半だと思いますが…。
それに、とりあえずここまで特定して、では具体的に誰なのか…。これ
以上は ISPに問い合わせるしかありません。過去の AMSAT-BB の投稿で
bellsouth 関連のドメインのアドレスを使っている人を探す手もあります
が、ROM で投稿していない購読者の可能性もありますからね。しかし、問
い合わせたところで、警察機関等からの犯罪捜査目的の要請でもない限り、
ISP が個人情報を出してくれることはありませんし、本人に警告してくれ
と言っても、アテにならない ISP が大半でしょう。
つまり、追跡するのは無駄骨だと言うことです (--;)。ヘッダをしこし
こ解析しているより、ウィルスチェックソフト等で消し込んでしまう方が
楽です。
> 少なくとも私のアドレスを登録されているjamsat会員の皆さんへ
> あくまで可能性ですが、
> Sobig 関連に汚染されているかどうかご確認ください。
[チェックリスト]
□ ウィルス検出ソフトを導入していないか、最近アップデートしていない。
あるいは導入しているが自動チェックにしていない。
□ パーソナルファイアウォールソフトを導入していない。あるいはしている
が、何も考えずに許可指示を出してしまう。
□ Microsoft Outlook または Microsoft Outlook Express を使っている。
□ 添付ファイルをうっかり開いてしまうことがある。
□ Windows Update を頻繁にかけない/自動アップデート機能を有効にしてい
ない。
どれか3つに該当する人は、危険です。今すぐにパソコンから電話線や LAN
ケーブルを取り外し、ウィルスチェックソフトを買ってきてチェックしましょ
う。買うおカネの無い人 (--;) はこちらをどうぞ。
ウィルス対策ソフト AVG
http://www.ba.wakwak.com/~ukiuki/security/avg/index.htm
ウィルス感染の有無をチェックし、可能であれば除去します。
パーソナルファイアウォールソフト ZoneAlarm
http://www.ba.wakwak.com/~ukiuki/security/za/index.htm
未知のウィルスに感染しても、それがよそにウィルスメールを送出しようと
した場合に阻止できます。
- -
Yoshihiro Imaishi 今石良寛 - 福岡県北九州市
JF6BCC/KH2GR
mailto:jf6bcc@jarl.com
http://plaza16.mbn.or.jp/~palau/
- -
-------------
JAMSAT BB Mailing List
http://www.jamsat.or.jp/infoserv/mlist.html