[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index][JAMSAT Home]

[jamsat-bb:13891] off topic - Re: 続 ウィルス・メール


JF6BCC 今石です。

At 2003/08/25 12:40:18 shibayama_masato wrote:
> Sobig 関連のメールであることは確かなのですが、
> タイトルが公表されているものとは異なるものがあります。
> 増えたのでしょうか。

  使われる文字が内蔵されている方式でないとか、まだ報告されていな
い亜種が存在する可能性があると思います。

> 私のアドレスでどこかの誰かさん宛に迷惑メールが発信されている可能性が
> あるということですね。

  十分にあります。

> まだ、どこからもクレームは来ていません。

  ウィルスの仕業だとわかっていれば、クレームにならないでしょう。
逆に、ヘタにクレームをつけることは、そのウィルスの動作に対して無
知であることの証明になってしまいます。
  うちには、クレームではなく、ウィルス検知ソフトや ML サービス、
あるいはファイアウォールなどが自動的に返してくる警告・応答メール
が時々来ます。ML はともかく、発信者を詐称するウィルスでは「あなた
は感染している」と言う警告は無意味なので、この機能を on にするの
はやめて欲しいものですが…。

> 7種のウィルス・メールの発信者の中に、jamsat会員からの発信メールが
> ありましたので、恐らく、その発信者以外のjamsat会員のコンピュータが
> 汚染されている可能性が高いといことでしょうか。

  JAMSAT-BB 購読者とは限りません。この手のウィルスは、アドレス帳
だけでなくメール本文や html ドキュメントなど、インターネット関連
のファイルを多数参照して宛先・発信元アドレスに使えるものを抽出し
てきます。ですから、感染者のPCのアドレス帳やメールデータそのも
のだけでなく、ML 内容を Web 閲覧できるアーカイバや、どこかの Web
サイトで引用された投稿文などのキャッシュデータなどからも、抽出さ
れているかも知れません。

> もし、ひとつのコンピュータが発信源になっていると想定した場合、
> 私のアドレスと私宛にウィルス・メールを発信させられたjamsat会員のアドレスの両方が、
> アドレス帳に記載しているコンピュータが汚染されている可能性があるということでしょうか。

  芝山さんが JAMSAT-BB への投稿以外に jamsat.or.jp アドレスの署名
付きメールを出していないのなら、その感染者は JAMSAT-BB 購読者であ
る可能性は高いと思います (JAMSAT "会員" であるとは限りません)。た
だ、使用アドレスの抽出元はアドレス帳だけではないので、その仮定は
限定しすぎて無意味だと思います。

  具体的に感染者を特定しようとする場合は、一般のスパム追跡の手段
を使います。到着したウィルスメールのヘッダを解析し、発信元となっ
たコンピュータが使っていた IP アドレスを特定するのです。例えばつ
い先ほど、うちにはこういうのが届きました。

Return-Path: <nawlins109@yahoo.com>
Received: from NICK1 ([68.155.38.113]) by pop03.dreamnet.ne.jp with ESMTP
          id <20030825033117.FRPI1632.pop03.dreamnet.ne.jp@NICK1>
          for <imaishi@aa.mbn.or.jp>; Mon, 25 Aug 2003 12:31:17 +0900
From: <nawlins109@yahoo.com>
To: <imaishi@aa.mbn.or.jp>
Subject: Thank you!
   <<以下略>>

  コンピュータ名 NICK1 は、残念ながらウィルスが詐称したものですか
ら信頼できません。このウィルスは、自身が SMTP サーバとして振舞いま
すので、私の契約している DreamNet の SMTP サーバに対し、直接メール
を送りつけていますが、その際、DreamNet 側では発信者の IP アドレスを
記録しヘッダにつけてくれています。上記の 68.155.38.113 がそれです。
  この IP アドレスを元に、DNS サーバからドメイン名を取得することを
試みます。

NSLOOKUP サービスの一例
http://www2s.biglobe.ne.jp/~cru/library/tools/nslookup.html

  これで 68.155.38.113 -> adsl-155-38-113.lft.bellsouth.net だとわ
かりました。試しに www.bellsouth.net をブラウザで見てみると、それは
北米アトランタにある ISP だとわかりました。宛先に使われている
aa.mbn.or.jp は私が AMSAT-BB に投稿する時に使っていますが、AMSAT
のアーカイバの web ページは、投稿アドレスを表示しません。また現在
のところ、AMSAT 関連以外のメールは殆ど交換していません。だとすれば、
感染者は bellsouth 社の ADSL 契約者で AMSAT-BB 購読者である可能性
が高い、と見当が付きます。

  ISP によっては IP アドレスを記録しなかったり、送信経路に複数パス
があったりします。DNS で名前が得られない IP アドレスであれば、オー
ナを調べる必要もありますので、上記のようにスムーズにいかないケース
が大半だと思いますが…。
  それに、とりあえずここまで特定して、では具体的に誰なのか…。これ
以上は ISPに問い合わせるしかありません。過去の AMSAT-BB の投稿で
bellsouth 関連のドメインのアドレスを使っている人を探す手もあります
が、ROM で投稿していない購読者の可能性もありますからね。しかし、問
い合わせたところで、警察機関等からの犯罪捜査目的の要請でもない限り、
ISP が個人情報を出してくれることはありませんし、本人に警告してくれ
と言っても、アテにならない ISP が大半でしょう。

  つまり、追跡するのは無駄骨だと言うことです (--;)。ヘッダをしこし
こ解析しているより、ウィルスチェックソフト等で消し込んでしまう方が
楽です。

> 少なくとも私のアドレスを登録されているjamsat会員の皆さんへ
> あくまで可能性ですが、
> Sobig 関連に汚染されているかどうかご確認ください。

[チェックリスト]
□ ウィルス検出ソフトを導入していないか、最近アップデートしていない。
   あるいは導入しているが自動チェックにしていない。
□ パーソナルファイアウォールソフトを導入していない。あるいはしている
   が、何も考えずに許可指示を出してしまう。
□ Microsoft Outlook または Microsoft Outlook Express を使っている。
□ 添付ファイルをうっかり開いてしまうことがある。
□ Windows Update を頻繁にかけない/自動アップデート機能を有効にしてい
   ない。

  どれか3つに該当する人は、危険です。今すぐにパソコンから電話線や LAN
ケーブルを取り外し、ウィルスチェックソフトを買ってきてチェックしましょ
う。買うおカネの無い人 (--;) はこちらをどうぞ。

ウィルス対策ソフト AVG
http://www.ba.wakwak.com/~ukiuki/security/avg/index.htm
  ウィルス感染の有無をチェックし、可能であれば除去します。

パーソナルファイアウォールソフト ZoneAlarm
http://www.ba.wakwak.com/~ukiuki/security/za/index.htm
  未知のウィルスに感染しても、それがよそにウィルスメールを送出しようと
  した場合に阻止できます。

- -
Yoshihiro Imaishi 今石良寛 - 福岡県北九州市
JF6BCC/KH2GR
mailto:jf6bcc@jarl.com  
http://plaza16.mbn.or.jp/~palau/ 
- -
-------------
JAMSAT BB Mailing List
http://www.jamsat.or.jp/infoserv/mlist.html