メールの発信元をつきとめる方法
ダイレクトメールの中には、本当のメールアドレスを偽って送信したものがある。
このメールの本当の送信元となったプロバイダーやネットワークを突き止めるための唯一の手がかりは、受信メールのヘッダー情報です。
ここではヘッダー情報から送信元を突き止める方法を手順を追って解説する。(1) メールヘッダー情報を表示する
メールソフトを使って、受信したメールのヘッダー情報を表示させる。
Outlook Express 5 Windows版の場合は、メールリストから表示させたいメールを
右クリックで選び右クリックメニューから「プロパティ」を選ぶ。
続いてプロパティウィンドウの「詳細」タブをクリックするとヘッダー情報が表示される。
Mac版Outlook Express 5の場合はメッセージを選んでタイトルメニューの「表示」→「ソース」を選ぶと表示される。
(2) 偽装されたメールアドレスかどうかを判断する
まず、送信者のメールアドレスが偽装されたものかどうかを判断する必要がある。このためには、ヘッダー情報の「Received:」欄をチェックする。
Received: from smtp5.dti.ne.jp (smtp5.dti.ne.jp [202.216.228.40])
by receiver.xxxx.com (8.9.1/8.9.1) with ESMTP id EAA07652;
Fri, 31 Mar 2000 04:11:18 +0900 (JST)
Received: from pcg-c1s (PPP15.tokyo-pias.dti.ne.jp [210.170.145.245])
by smtp5.dti.ne.jp (8.9.3/3.7W) with SMTP id DAA04090;
Fri, 31 Mar 2000 03:56:28 +0900 (JST)
X-Sender: ring@pop.fides.dti.ne.jpこれは「ring@fides.dti.ne.jp」という差出人から送られてきたアダルト関連のダイレクトメールです。
ヘッダー情報の「Received:」欄には受信したメールがどのサーバーを経由して送信されたのかが書かれている。
「Received:」は「from A by B for C」(AからBによってC宛てに受信した)という形で記述される。このCは省略されることがあるが、このメールを受信した人(つまり本人) のことです。
また、2つの「Received:」情報が記載されている場合、時間的に新しいものから記載される。
差出人はDTIというプロバイダーの東京のアクセスポイントに接続してそのまま送信している。
これを翻訳すると、「smtp5.dti.ne.jp」から「receiver.xxxx.com」宛てにメールが送信された。
「PPP15.tokyo-pias.dti.ne.jp [210.170.145.245]」から、SMTPメールサーバー「smtp5.dti.ne.jp」というメールサーバーによって送信された。
ということが書かれている。
つまり、「PPP15.tokyo-pias.dti.ne.jp [210.170.145.245]」→「smtp5.dti.ne.jp」→「receiver.xxxx.com」という形で送信されているわけです。送信者の利用したアクセスポイントは「PPP15.tokyo-pias.dti.ne.jp [210.170.145.245]」である。
これこそ典型的な生メールアドレスで、何の隠蔽工作もしていないようです。このようなヘッダーを見るにつけ、差出人はよっぽど無知なのか、それとも盗んだIDでメールを送信しているのか、と思ってしまう。それでは、次の例はどうだろう。
Received: from mail.net-clic.net (mail.net-clic.net [212.155.109.7])
by xxx.mydomain.com (8.9.1/8.9.1) with ESMTP id HAA04661;
Sun, 30 Jul 2000 07:13:34 +0900 (JST)
Received: from smtp.indiatimes.com
(ip89.ann-arbor4.mi.pub-ip.psi.net [38.27.133.89])
by mail.net-clic.net (8.8.7/8.8.7) with SMTP id AAA25505;
Sun, 30 Jul 2000 00:08:49 +0200
これは「freetv16@indiatimes.com」という送信者から「xxx.mydomain.com」(仮)に送られてきた英文のダイレクトメールのヘッダー 情報です。
「Received:」ヘッダーの最初のものは「mail.net-clic.net」から、受信者のネットワークへ送信されたという記述です。次は「smtp.indiatimes.com」から「mail.net-clic.net」に送信したと書かれている。
これは一見「smtp.indiatimes.com」というメールサーバーを利用して送信されたように思えるが、「smtp.indiatimes.com」の次のカッコ内には「38.27.133.89」というIPアドレスをドメイン変換した「ip89.ann-arbor4.mi.pub-ip.psi.net」と、異なったドメイン名になっている。これはかなり怪しいと判断しなければならない。この送信者は「indiatimes.com」ではなく「psi.net (38.27.133.89)」から「mail.net-clic.net」を経由して送信した可能性が高い。
つまり「ip89.ann-arbor4.mi.pub-ip.psi.net [38.27.133.89]」→「mail.net-clic.net」→「xxx.mydomain.com」と推測される。「freetv16@indiatimes.com」はやはり怪しいのです。これまでの調査で判明した「psi.net」と「net.clic.net」がどのようなネットワークなのかを「IPドメインSEARCH」(http://www.mse.co.jp/ip_domain/index.shtml)にアクセスして調べてみることにしよう。
まず、psi.netのIPアドレス「38.27.133.89」を入力して「IPドメインSEARCH」ボタンをクリックすると「Performance Systems International (NET-PSINETA) 」と表示される。ここで詳細データ検索」をクリックすると、アメリカの大手プロバイダー「PSINET」であることがわかる。ドメインが「psi.net」だから、そのホームページは「http://www.psi.net/」です。
次に「net-clic.net」を同じ要領で調べてみると、フランスのリヨン市にある会社であることがわかった。この正体を知るために「http://www.net-clic.net」にアクセスしてみると、自動的に「http://www.netclic.fr/home/homea.shtml」というホームページに転送された。表示されたページからはフリーメールサービスを提供していることが判明した。また、「indiatimes.com」はインド系総合ポータルサイトで、こちらもフリーメールサービスを提供していることがわかった。
以上の調査で、送信者はPSINETの接続サービスを利用する者が「freetv16@indiatimes.com」というフリーアカウントでフランスのnet-clic.netのメールサーバーを経由して送信したということが判明した。
ここで最も重要な情報はPSINetのアクセスポイントです。PSINetアメリカ国内のアクセスポイントの場合、「ip89.ann-arbor4.mi.pub-ip.psi.net」の「ann-arbor」はアクセスポイントの所在地で「mi」はミシガン州を示している。アメリカの地図情報を利用して調べてみると、ミシガン州デトロイトの郊外に「Ann arbor」という街がある。どうやら、送信者はここからダイレクトメールを送ったらしい。(5)ネットワークサービスに問い合わせる
メールのヘッダー情報からわかるのはここまでである。「ip89.ann-arbor4.mi.pub-ip.psi.net」というアクセス元が本当にどこなのか、そこからアクセスしたユーザーが誰なのかを知っているのはPSINetだけです。
ここから先は、PSINetに直接相談して協力を要請しなければならない。なお、相談の際は必ず受信したメールとヘッダー情報を添付した方が良いだろう。
なお、この例のように送信元が海外の場合英文メールを作成する必要がある。少々おっくうに思えるが、英語のできる知人に頼んでプロバイダーの協力が得られるよう頑張ってみよう。なお、日本語のダイレクトメールのほとんどは日本のプロバイダーやネットワークから発信・中継されたものです。この場合は、比較的簡単に連絡を取ることができるだろう。
ただし、インターネットプロバイダーは単に「誹謗中傷されたから」「SPAMが送られてきたから」という理由だけでは、なかなか情報を公開してくれないのが現実です。しかし、実際に被害が発生しており、警察に被害届も出しているという前提であれば、協力してもらえる可能性は高いだろう。