[jamsat-bb:13920] off topic - Re: ウィルス発信源が見えてきました

JF6BCC 今石です。

  まだ少々、誤解されているところがあります。

At 2003/08/27 17:16:14 shibayama_masato wrote:
> そのCATV局に問い合わせたところ、
> （発信者は、弊社ユーザであると同時に" jamsat.or.jp "の
> メール送信サーバを使用可能な人物と思われます。）
> との回答が寄せられました。

  (--;) …その CATV 会社の担当者の無知さにちょっと呆れてます。ウィルス
の基本的な動作を知らないと言うのは、ユーザならともかく、ISP として失格
ですよね。

  sobic は (sobic に限らず最近の自己増殖ウィルスの大半は) メール送信サ
ーバ (SMTP Server) を使用しません。ISP の SMTP サーバにはスパム対策が施
されているのが通常で、それを狙っても効果が無いため、現在は、ウィルスソ
フト自身が SMTP サーバとして活動し、宛先アドレスの SMTP サーバに直接メ
ールを送りつけるタイプが主流です。その CATV 会社の担当者の言う「jamsat.or.jp
のメール送信サーバ」は (どこかに存在するかも知れないが)、ウィルス増殖の
過程には全く無関係です。
  今回。誰かのパソコンが感染し jxxxxx@jamsat.or.jp を発信人としたウィル
スメールを発信した際、そのメールは、感染者が契約している ISP のメールサ
ーバや、感染者が普段利用可能なメールサーバ、あるいは存在するかどうかわ
かりませんが jamsat.or.jp の SMTP サーバとは「全く無関係」に、宛先のメ
ールサーバへ向けて発信されています。皆さんのところに届いているウィルス
メールのルートヘッダを参照してみて下さい。最初の１パスが「受信者」関連
のメールサーバである (送信側メールサーバの関与が無い) ことに気づくと思
います。

  私は jf6bcc@jamsat.or.jp で利用可能なメール送信サーバを持っていませ
ん。にも関わらず、jf6bcc@jamsat.or.jp によるウィルスメールは各地に届い
ています。これは、警告メールがこちらに戻ってくることでわかります。

> ウィルス・メールを発信したと思われる方は、対策をお願いします。

  先のメールで述べた通り、感染者は jamsat.or.jp 読者である可能性は高い
とは言え、そうとは限らないのです。JAMSAT-BB の Web アーカイバを見てい
るだけの人でも、感染すれば発信者として芝山さんのコールを詐称することが
あり得ます。くだんの CATV 会社の無知な返信は、この際忘れた方がいいです
よ。

  それに、発信者が一箇所だと判明したのであれば、ここで注意するより、芝
山さんが書かれている、以前されていた DNS サーバ検索による方法で、感染者
を特定して、注意される方が有効では、と思います。
  ついでに、他の所では他の人間からのウィルスが届いているかも知れません
から、その方法を、ここなり Web ページなりで公表していただけると、助かる
かと思います。

- -
Yoshihiro Imaishi 今石良寛 - 福岡県北九州市
JF6BCC/KH2GR
mailto:jf6bcc@jarl.com  
http://plaza16.mbn.or.jp/~palau/ 
- -
-------------
JAMSAT BB Mailing List
http://www.jamsat.or.jp/infoserv/mlist.html