SPAM メールを追いかけてみる - グローバルセキュリティエキスパート

SPAM メールを追いかけてみる
グローバルセキュリティエキスパート株式会社
タイガーチームメンバー S.K
2010 年 6 月某日、数日前にテレビのお天気ニュースで宣言されたとおり、梅
雨真っ只中のこの日。いつも通り会社でパソコンに向かって仕事に勤しんでい
ると、Windows のデスクトップ画面の右下、タスクバー付近に新着メール受信の
アイコンが表示される。
「仕事関係かな?」とメーラの受信トレイを見てみると、
毎日毎日飽きもせず、手を変え品を変え数十通と送られてくる SPAM メールだっ
た。「またか…」、いつも通り迷惑メールフィルターに登録して終了。
しかし、本当によくもまあ飽きもせず送ってくるものだ。筆者が1日に受信
するメールの内、SPAM メールの占める割合は(筆者調べで)約 7 割。数年前に
受講した某大学の情報セキュリティ関連の講義で、講師を勤めておられた某大
学教授が、「インターネット上でやりとりされるメールの内、約 8 割は SPAM メ
ールじゃないか」と仰っていたが、あながちうなずける。
SPAM メールが毎日たくさん送られてくるからといって、筆者は決してインタ
ーネット上のあやしいサイトに積極的に自分のメールアドレスを登録している
わけではない。業務に必要なメールマガジンの登録や、業務において必要な情
報を正規の手続きに従って DL しているだけである。この為、SPAMMER(SPAM メ
ールを送る人)がどういった経路から筆者のメールアドレスを入手したのかは
見当がつかない。
SPAMMER のことはさて置き、今回は毎回受信するとさっさと捨ててしまってい
る SPAM メールを少し追いかけてみたいと思う。
Copyright © 2010 Global Security Experts Inc. All rights reserved.
1
以下は、最近筆者の業務用メールアドレスに送信されてきた SPAM メールであ
る。(社内機密上、必要に応じて情報を隠蔽している。)
Copyright © 2010 Global Security Experts Inc. All rights reserved.
2
とりあえず和訳(直訳)してみた。
件名:Boost your carnal stamina
君の肉欲的スタミナを高めよ
本文:
About this mailing:
You are receiving this e-mail because you subscribed to MSN Featured
Offers. Microsoft respects your privacy. If you do not wish to receive this
MSN Featured Offers e-mail, please click the "Unsubscribe" link below. This
will not unsubscribe you from e-mail communications from third-party
advertisers that may appear in MSN Feature Offers. This shall not
constitute an offer by MSN. MSN shall not be responsible or liable for the
advertisers' content nor any of the goods or service advertised. Prices
and item availability subject to change without notice.
この郵送物について:
あなたは「MSN Featured Offers」に申し込まれたので、このメールを受け取っ
て い ま す 。 マ イ ク ロ ソ フ ト は あ な た の プ ラ イ バ シ ー を 尊 重 し ま す 。「MSN
Featured Offers」のメールを受け取りたくないのであれば、下にある「登録削
除」のリンクをクリックして下さい。「MSN Feature Offers」に生じる可能性の
ある第三者広告主のメールコミュニケーションからあなたが外れることはない
でしょう。これは MSN による申し出で構成するものではありません。MSN は広
告主の商品又はサービス広告いずれの内容に対しても責任又は法的義務はあり
ません。価格とアイテムの有用性は予告なしで変更される可能性があります。
Copyright © 2010 Global Security Experts Inc. All rights reserved.
3
画像:
カナダの薬局
80%大幅値引き
バイアグラ(ED 治療薬)
シアリス(同上)
レビトラ(同上)
タミフル(抗インフルエンザウイルス薬)
バイアグラソフトタブ(ED 治療薬)
シアリスソフトタブ(同上)
Copyright © 2010 Global Security Experts Inc. All rights reserved.
4
次に、送られてきたメールの表示形式が HTML 形式だったので、以下にテキスト
形式で表示する。
本文を見ると、同一のリンク(http://■■■■■■.com)が 8 つ設定されてい
ることから、送信者の意図としてはこのリンクをなんとか踏ませたいようだ。
では、期待に応えてリンクを踏んでみよう。
Copyright © 2010 Global Security Experts Inc. All rights reserved.
5
http://■■■■■■.com
特にコンピュータウイルスに感染させられるような動きもない。本当にただの
カナダの薬局なのだろうか?少しだけ調べた結果、どうやらマイクロソフト
(MSN)になりすました詐欺サイトらしい。
参考 :
http://certifiedbug.com/blog/2008/07/16/spam-posing-as-msn-featured-of
fers/
Copyright © 2010 Global Security Experts Inc. All rights reserved.
6
次にメールヘッダの情報を見てみる。
(筆者はアウトルックを使用しているので、
[表示(V)]⇒[オプション(P)]⇒[インターネットヘッダ(H)]で表示)
尚、情報漏えい防止の為にシステム関連の情報は「*」、タイムスタンプ関連の
情報は「#」で隠蔽している。
Received: from *.*.*.jp [*.*.*.*] by *.*.com with ESMTP
(SMTPD-8.22) id ADE90A20; #, # # 2010 #:#:* +0900
Received: from ZUXNABVZR
([175.***.***.***])
by *.*.*.jp (unknown) with ESMTP id o5G6NEb2007901;
#, # # 2010 #:#:# +0900
Received: from 175.***.***.*** by mail2.***.cz; #, # # 2010 #:#:# +0900
Message-ID: <000d01cb0d1c$66701d20$6400a8c0@unimpeachablek6>
From: "Deloris Randle" <unimpeachablek6@***.cz>
To: <*@*.com>
Subject: Boost your carnal stamina
Date: #, # # 2010 #:#:# +0900
MIME-Version: *.*
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_3E8C_01CB0D1C.66701D20"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express *.*.*.*
X-MimeOLE: Produced By Microsoft MimeOLE V*.*.*.*
X-IMAIL-SPAM-VALFROM: (6de9014e0000598b)
X-RCPT-TO: <*@[*.*.*.*]>
Status: R
X-UIDL: 529304334
X-IMail-ThreadID: 6de9014e0000598b
ヘッダ情報の細かい話は置いておいて、ヘッダから取得可能な情報から少し送
信元を追いかけてみる。まずはメールを送ってきた Deloris Randle 氏について、
メールアドレスは「unimpeachablek6@***.cz」、「cz」ドメインはチェコ共和国
のもの、チェコからの送信?(当然、送信元情報は改ざんされている)、メール
ア ド レ ス の ド メ イ ン で あ る 「 ***.cz 」 の 存 在 を 調 べ た と こ ろ 、
「http://www.***.cz/」
(www サーバ)が存在していた(次頁参照)
。チェコの言
語が不明の為、何が書かれているのかわからないが、画像等から推測するとチ
ェコの電気関係の企業のようだ。では「***.cz」はいくつかの SPAM ブラックリ
ストに登録されているかチェックしてみる(次頁参照)。ブラックリストには登
録されていない。従って、単に送信元の改ざん情報として利用されているよう
だ。
Copyright © 2010 Global Security Experts Inc. All rights reserved.
7
http://www.***.cz/
「***.cz」ブラックリストチェック結果
Copyright © 2010 Global Security Experts Inc. All rights reserved.
8
次にメールの配送情報(以下)を追いかけてみる。(わかり易いように抜粋済)
③Received: from *.*.*.jp by *.*.com
②Received: from 175.***.***.*** by *.*.*.jp
①Received: from 175.***.***.*** by mail2.***.cz
「Received」はメールの配送経路情報を上位から示しており、
「Received」が多
ければ配送経路が多数あるということ。また「from」と「by」は、
「from ○○」
から配送されたメールを「by △△」で受け取ったということになる。上記を見
る と 、 ま ず ① 「 175.***.***.*** 」 か ら 「 mail2.***.cz 」 に 配 送 し 、 次 に ②
「 175.***.***.*** 」 か ら 「 *.*.*.jp 」 に 配 送 し 、 最 後 に ③ 「 *.*.*.jp 」 か ら
「*.*.com」に配送している。しかし今回の配送経路は不思議な内容になっている。
②の「from」は「mail2.***.cz」となるはずだが、「175.***.***.***」になっ
ている。どうやら①はフェイクのようだ。やり方によっては①の情報を任意に
追記できるので、まぁこのあたりが SPAM メールの妙技だと考えられる。
そんなわけで、どうやら今回の黒幕は「175.***.***.***」のようだ。では、
「175.***.***.***」を調べてみることにする。まずは IP アドレスの所属情報
を調査したところ、韓国であることがわかった。次に名前解決を試みたが、解
決できなかった。最後に SPAM ブラックリストをチェックしたところ、登録され
ていた。ブラックリストに登録されているので、今回の作業はここまでとする。
しかしブラックリストに登録されてはいるが、また手を変え品を変え送られて
くるのだろう。
「175.***.***.***」調査結果
inetnum:
175.***.***.*** - 175.***.***.***
netname:
KORNET
descr:
Korea Telecom
descr:
Network Management Center
descr:
********************************
descr:
Allocated to KRNIC Member.
descr:
If you would like to find assignment
descr:
information in detail please refer to
descr:
the KRNIC Whois Database at:
descr:
http://whois.nic.or.kr/english/index.htm
descr:
*********************************
country:
KR
∼ 省略 ∼
remarks:
www.***.***.com
mnt-by:
MNT-KRNIC-AP
mnt-lower:
MNT-KRNIC-AP
changed:
[email protected] 20100127
source:
APNIC
Copyright © 2010 Global Security Experts Inc. All rights reserved.
9
「175.***.***.***」ブラックリストチェック結果
【まとめ】
今回は、筆者宛に毎日毎日送られてくる迷惑な SPAM メールを、できる限り追い
かけてみた。今回わかったことを以下に記して本レポートを終了する。
① SPAM メール送信元は韓国所属のサーバ
② SPAM メール送信者情報は偽装されていた
③ SPAM メールのメールヘッダ(Received)が一部改ざんされていた
④ SPAM メールのリンク先は某社を名乗る詐欺サイトだった
⑤ SPAM メールの送信元サーバはブラックリストに登録されていた
⑥ 今回の SPAM メールから発生する実害シナリオは以下
被害者が SPAM メールを受信する
⇒被害者がメール内のリンクを辿って詐欺サイトにアクセスする
⇒被害者が詐欺サイト内で個人情報等(クレジットカード情報 等)を入力
⇒入力した情報が詐欺サイト管理者に漏えい
⇒漏えいした情報(クレジットカード情報 等)が悪用される
以上
Copyright © 2010 Global Security Experts Inc. All rights reserved.
10