- ベストアンサー
Klezの送信者偽装について
先日、ある企業の全く知らない方からメールを受信しました。 内容は、「あなたのPCがKlezに感染していて、毎日大量のウイルスメールをばら撒いていて困っています。至急対処してください。」 このウイルスの送信者偽装については知っていたので、私のアドレスが送信者だったのかと質問してみたところ、 「From」ではなく「Return-Path」に私のアドレスが記載されているそうです。(しかも大量のウイルスメールに) Klezは「Return-Path」のアドレスも偽装するのでしょうか…。 ちなみに私のところにも、その方の会社ドメインの様々なアドレスで、毎日ウイルスメールが届いています。 (その方からメールをいただく随分前から届いています) きっと、私とその方に共通する方が感染していると思うのですが、 「Return-Path」も偽装するのか不安になり質問させていただきました。 何か説明不足なことがあればご指摘ください。
- Hikari_96
- お礼率100% (23/23)
- ウィルス・マルウェア
- 回答数6
- ありがとう数13
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
>これは、「Received: from ~」の部分のアドレスに見覚えがあって、そのアドレスとプロバイダが一致する場合、差出人の確率が高いということでしょうか。 そうです。 「Subject」のすぐ上あたりでしょうか。 プロバイダだけでもわかれば、知り合いが利用しているということで判断できる場合があります。 捨ててしまってはどうしようもありませんが、相手には次回も同様なメールが届いたら、メールのヘッダを保存してもらうようにしましょう。 「Return-Path」はメールの経路によって、表示がない場合があります。 それを考えますと、アテになりません。 オンラインでのウイルスチェックができないということですが。 ウイルスチェックのプログラムをご案内します。 http://www.vintage-solutions.com/Japanese/Antivirus/Super/index.html 「アンチドート」というワクチンソフトの簡易版です。 日本ではなじみがありませんが「アンチドート」は知る人ぞ知る、プロ?のウイルス制作者も一目置く、「世界最強」のワクチンソフトです。
その他の回答 (5)
詐称されている例は、 http://memo.st.ryukoku.ac.jp/archive/200205.month/3801.html http://memo.st.ryukoku.ac.jp/archive/200205.month/3806.html http://memo.st.ryukoku.ac.jp/archive/200205.month/3809.html や、 http://memo.st.ryukoku.ac.jp/archive/200205.month/3821.html に実際の話が載っています。 また、recievedフィールドでも、ごく一部は詐称できますのでご注意を。 http://memo.st.ryukoku.ac.jp/archive/200205.month/3821.html
お礼
TICS様、またまた貴重な情報ありがとうございました! 全ての例を読ませていただきました。100%詐欺しないということは言いきれないということですね。『絶対に詐欺しない』ということであれば、このような例は、ありえませんものね。 他の方のご意見も統合して考えると、『From』も『Return-Path』も『recieved』も100%詐欺してないとは言いきれず、一番確率の高い送信元は『Received from』の一番最初(ヘッダ内では一番下)に記載されている人が感染者の確立が高いということですね。 こうして考えると、ヘッダは大切な情報源ですね。あからさまに『あなたが感染していて困ってる』と相手に伝えるより、そう考えた根拠となるヘッダを添えて伝えれば、更に相手の方に親切な気がしました。 今回のウイルス騒動で、私なりに勉強になり教訓となりました。TICS様はじめ、他の方々の親切なご意見、本当にありがとうございました。
>「Return-Path」のアドレスも偽装するのでしょうか…。 偽装します。 高い確率で差出人を特定するには、メールヘッダの 「Received: from ~」からブロバイダとアドレスを確認します。 ・プロバイダとアドレスがあっている。 ・アドレスに覚えがある。 のであれば、問い合わせる価値はあります。
お礼
お返事ありがとうございました。 偽装するのですか…! 各ウイルス情報のサイトに「感染したらレジストリを書き換える」と書いてありますので、毎日何度も何度も確認していますが、書き換えてる形跡が全く無く、アンチウイルスソフトでも反応が全くありません。 各ウイルス情報のサイトでは、「From」を偽装するということは断言して書いてあるのですが、「Return-Path」を偽装するのかしないのかは一切触れられていません。 しかし、相手の方は「Return-Path」のアドレスがあなたのものだから、「あなたがばら撒いている」と言いました。 その方がウイルスにお詳しいのかどうかは全く分かりませんが、そう断言されてしまい困惑しています。 もし本当に私がウイルスをばら撒いていたら申し訳ないですし、「Return-Path」も偽装するのかしないのかハッキリ事実関係が分かれば、私としても対策のしようがあるので質問いたしました。(OSの再インストールを3回していますが、その後もレジストリの書き換えは一切見当たりません。) >・プロバイダとアドレスがあっている。 >・アドレスに覚えがある。 これは、「Received: from ~」の部分のアドレスに見覚えがあって、そのアドレスとプロバイダが一致する場合、差出人の確率が高いということでしょうか。 以前私がその方に、何かの参考になるかもしれないのでヘッダをお教えくださいと伝えたのですが、もう全てのウイルスメールを破棄してしまったので送れないとのことでした。 でも確かに「Return-Path」のアドレスは、私のアドレスが記載されていたということです。また、「Received: from ~」のことについては一切何もおっしゃっていませんでした。 貴重なご意見ありがとうございました。
多分、質問内容から、考えて、「Return-Path」まで書き換えないだろうという話だと思いますが、セキュリティホールmemoというサイトのMLを読んでいると、Return-Pathを詐称したメールがちらほらと見られます。 さらにKLEZ.Hで、日本語がsbjectのKLEZも発見されています。 Envelope-Fromも書き換えるようですので、差出人の追跡が難しい状況です。
お礼
お返事ありがとうございました。ゴメンなさい、私の書き方が上手くなかったですね。。 ウイルスに感染した覚えは無いのに早急に対処してくださいとのメールをもらい、感染した覚えが無いのに送信していたらどうしよう…という不安から、質問させていただきました。 私のアドレスは、「From」ではなく、「Return-Path」に記載されているそうです。「From」の偽装は理解されていますが「Return-Path」は実際の送信者だと言い張る相手の方の主張に、どうも理解しがたいものがあったので... 私から送信しているとは思えないので「Return-Path」も偽装されていると思いましたが、お詳しい方のご意見を聞き、自分は加害者なのか被害者なのかハッキリとさせたいと思っています。 TICS様のご意見では、「From」以外にも、「Return-Path」や「件名」「Envelope-From」までも書き換えてる事実が発見されているということですので、私がばら撒いているとは100%言い切れないということですね。ホッといたしました。私もそのサイトを探して見てみようと思います。貴重なご意見ありがとうございました。
- Singollo
- ベストアンサー率28% (834/2935)
わたし自身はKlezに感染したことはないので推測ですが、Return-Pathは転送経路の最後のサーバがエンベロープのMail Fromフィールドのアドレスをヘッダーに追加するもので(追加しないサーバもあります)、エンベロープは送信したプログラムが作成するものです Klezは独自のSMTPエンジンを使って自力でメッセージを送信するワームですので、当然エンベロープも作成できるはずです 実際にKlezがMail Fromフィールドを偽装するかどうかは存じませんが、Fromフィールドを偽装しておいてMail Fromフィールドを見逃すという方が不自然な気もします
お礼
お返事ありがとうございました。私も、Fromフィールドをわざわざ偽装しているのに、Mail Fromフィールドを偽装しないってことに違和感を感じていました。わざわざFromを偽装しているのだから、「Return-Path」も偽装ではないかと...。実際に、私のマシンは感染症状が見られませんし。。 Singollo様のご意見では、このワームは自らSMTPエンジンを使って送信しているからエンベロープも自ら作成しているはずで、そうなると、Mail Fromフィールドも偽装しないと不自然だということですね。私も同感です。少し安心いたしました。答えてくださり、ありがとうございました。
- takasuga
- ベストアンサー率37% (231/612)
本当にウイルスに感染していないのであれば、なんともいえませんが、傾向上、確かにReturn-Pathは本人のアドレスを使用しているのは事実です。 ウイルスプログラムが入っていてもデータが古い場合はチェックしても意味がないです。 参考URLでオンラインウイルスチェックを行ってみてください。
お礼
早速のご回答ありがとうございました。 このウイルスが発見された当初から、IE5.5をSP2にバージョンアップしていました。(ちなみに、メーラーはBeckyです。) また、私が利用しているプロバイダのPOPサーバーは常にウイルスチェックをしていて、こちらからウイルス付きのメールを送ろうとする場合、相手に送られずに自分に返されてきます。 更に、その方のメールアドレスを自分のアドレスブックに登録している事実はなく、その方の企業ドメインのアドレスも一切登録していません。 また、ハードディスク内にあるHTMLファイルやTXTなどのファイルにも、一切記載されていません。 以上の点から、その方の会社へ自分がウイルスを送るということが考えられなかったのですが、「From」は偽装するけれど「Return-Path」は偽装しないというのが、基本的な性質なのですね... 指摘メールを受けてから毎日何度もウイルスチェックしていますが、感染している結果が出ません。気分悪いので、OSの再インストールを3回もやりました。 オンラインでのウイルスチェックは、私の回線が細いせいか、昔から何度トライしてもフリーズしてしまいます。ですが、親切にお教えくださり、ありがとうございました。
お礼
追加情報ありがとうございます! お返事遅くなってスミマセン。 早速お勧めのプログラムで検索してみました。LANケーブルで繋いでいる別のマシンも検索しましたが、やはりウイルスは検出されませんでした。。。 しかしこのプログラム、ホントに凄そうですね。 世界最強と恐れられているプログラムであの価格(有料版)なんて! 有料版ならパターンファイルの自動更新あるのかな。。今後の為にも欲しくなってしまいました。 それから相手の方に次回届いたらヘッダを送ってくださいと頼んでありますが、現時点では、まだいただいておりません。私も早くスッキリしたいので見たいのですが、、。 「Return-Path」はアテにならないということをお聞きし、少し安心しました。私のところへ届くウイルスメールのヘッダの「Received: from ~」の部分は、たいがいが、ある大企業のドメインと大手のプロバイダからです。その企業と、私がばら撒いていると言ってきた人の会社は同職なので(←こちらも大手です)、きっとその人が感染しているのかな…。 # 私のメーラーには、両企業ともアドレス帳への登録はしていませんし、HTMLファイルやTXTなどのファイルにも、アドレスは一切記載していません。 Eina様や他の方のご意見を統合しますと、【「Return-Path」も偽装される可能性が大きく、また「Return-Path」はアテにならない】という結論に達しました。ご指摘のメールを頂いた方にも、その旨お伝えし、次回届くメールのヘッダの提出を再度お願いすることにします。 Eina様はじめ他の方々の貴重なご意見、本当にありがとうございました。