届いたウィルスメールの発信元を知りたい
届いたウィルスメールの送信者のメールアドレス(FROMアドレス)は偽証されていることが多いので注意が必要です。
ウィルスメールの例
この例では,送信者のメールアドレスが「jpsupport@abc.com」となっていますが,偽証されたものです。
----------
件名 : Hi[Fri, 23 Jul 2004 00:15:11 +0900]
送信者 : jpsupport@abc.com
宛先 : www-adm@cc.osaka-kyoiku.ac.jp
Cc : jpsupport@abc.com
------------------ Virus Warning Message (on filter)
Found virus WORM_NETSKY.D in file your_file.pif
The uncleanable file your_file.pif is moved to /etc/iscan/virus/virMb5JVo.
このメールについていたウィルスは除去されました。詳細は情報処理センターの次のページを参照してください。
http://www.osaka-kyoiku.ac.jp/~ipc/faq2.html#virus
質問がありましたら、staff@cc.osaka-kyoiku.ac.jpまでメールしてください。
---- 大阪教育大学情報処理センター (TEL 072-978-3824 FAX 072-976-3299) ----
--------------------------------------------------------------------------------
Here is the file.
--------------------------------------------------------------------------------
------------------ Virus Warning Message (on filter)
your_file.pif is removed from here because it contains a virus.
---- 大阪教育大学情報処理センター (TEL 072-978-3824 FAX 072-976-3299) ----
発信元のコンピュータの特定
発信元のコンピュータの情報を得るため,受信メールのメールヘッダを詳細にして,メールが伝わった経路を表示します。
情報処理センターがサービスしているWEBメールのActive Mailでは,「虫ねがめマークのSOURCE」ボタンをクリックします。
----------
Return-Path:
Received: from filter.osaka-kyoiku.ac.jp (IDENT:root@filter.osaka-kyoiku.ac.jp [150.86.1.5])
by ikoma.cc.osaka-kyoiku.ac.jp (8.9.3p2+20030922+3.2W/3.7W) with ESMTP id AAA07176;
Fri, 23 Jul 2004 00:41:30 +0900 (JST)
Received: from ikoma.cc.osaka-kyoiku.ac.jp (IDENT:root@localhost [127.0.0.1])
by filter.osaka-kyoiku.ac.jp (8.11.6/8.11.6) with ESMTP id i6MFftu12832;
Fri, 23 Jul 2004 00:41:55 +0900
Received: from filter.osaka-kyoiku.ac.jp (IDENT:root@filter.osaka-kyoiku.ac.jp [150.86.1.5])
by ikoma.cc.osaka-kyoiku.ac.jp (8.9.3p2+20030922+3.2W/3.7W) with ESMTP id AAA07147
for ; Fri, 23 Jul 2004 00:41:27 +0900 (JST)
Received: from grape.osaka-kyoiku.ac.jp (IDENT:root@localhost [127.0.0.1])
by filter.osaka-kyoiku.ac.jp (8.11.6/8.11.6) with ESMTP id i6MFfqu12816
for ; Fri, 23 Jul 2004 00:41:53 +0900
Received: from cc.osaka-kyoiku.ac.jp ([156.124.20.4])
by grape.osaka-kyoiku.ac.jp (8.9.3p2+20030922+3.2W/3.7W04051314) with ESMTP id AAA16198
for ; Fri, 23 Jul 2004 00:40:01 +0900 (JST)
Date: Fri, 23 Jul 2004 00:15:11 +0900
From: jpsupport@abc.com
Reply-To: staff@cc.osaka-kyoiku.ac.jp
Subject: Hi
To: www-adm@cc.osaka-kyoiku.ac.jp
Cc: jpsupport@abc.com
Message-Id: <200407221540.AAA16198@grape.osaka-kyoiku.ac.jp>
Mime-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0008_000040FF.00007E86"
Precedence: bulk
Lines: 35
This is a multi-part message in MIME format.
------=_NextPart_000_0008_000040FF.00007E86
Content-Type: text/plain; charset=iso-2022-jp
Content-Transfer-Encoding: 7bit
------------------ Virus Warning Message (on filter)
Found virus WORM_NETSKY.D in file your_file.pif
The uncleanable file your_file.pif is moved to /etc/iscan/virus/virMb5JVo.
このメールについていたウィルスは除去されました。詳細は情報処理センターの次のページを参照してください。
http://www.osaka-kyoiku.ac.jp/~ipc/faq2.html#virus
質問がありましたら、staff@cc.osaka-kyoiku.ac.jpまでメールしてください。
---- 大阪教育大学情報処理センター (TEL 072-978-3824 FAX 072-976-3299) ----
------=_NextPart_000_0008_000040FF.00007E86
Content-Type: text/plain;
charset="Windows-1252"
Content-Transfer-Encoding: 7bit
Here is the file.
------=_NextPart_000_0008_000040FF.00007E86
Content-Type: text/plain; charset=iso-2022-jp
Content-Transfer-Encoding: 7bit
------------------ Virus Warning Message (on filter)
your_file.pif is removed from here because it contains a virus.
---- 大阪教育大学情報処理センター (TEL 072-978-3824 FAX 072-976-3299) ----
------=_NextPart_000_0008_000040FF.00007E86--
一番下の「Received:」で始まる行を見ます
一番下の「Received:」で始まる行がメールの最初の受け渡しの記録になります。
この行の「from」の後に書かれている[ ]内のアドレスが発信元のIPアドレスです。
この例では,[156.124.20.4]となっています。
「by」の方ではありません。また,([ ])の前に書かかれている名前のアドレスは偽証されたものです。
メール転送の途中で改ざんされている可能性もありますので,これだけで完全に特定できるものではありませんが,
一般的には確度の高いものです。
発信元のコンピュータの所属
WEBブラウザで「http://www.nic.ad.jp」にアクセスし,ホームページの中央あたりにある
「■WHOISによる検索」の入力場所に上で調べたIPアドレスを入れて「検索」ボタンを押します。