• ベストアンサー

Klezの送信者偽装について

先日、ある企業の全く知らない方からメールを受信しました。 内容は、「あなたのPCがKlezに感染していて、毎日大量のウイルスメールをばら撒いていて困っています。至急対処してください。」 このウイルスの送信者偽装については知っていたので、私のアドレスが送信者だったのかと質問してみたところ、 「From」ではなく「Return-Path」に私のアドレスが記載されているそうです。(しかも大量のウイルスメールに) Klezは「Return-Path」のアドレスも偽装するのでしょうか…。 ちなみに私のところにも、その方の会社ドメインの様々なアドレスで、毎日ウイルスメールが届いています。 (その方からメールをいただく随分前から届いています) きっと、私とその方に共通する方が感染していると思うのですが、 「Return-Path」も偽装するのか不安になり質問させていただきました。 何か説明不足なことがあればご指摘ください。

質問者が選んだベストアンサー

  • ベストアンサー
noname#6217
noname#6217
回答No.5

>これは、「Received: from ~」の部分のアドレスに見覚えがあって、そのアドレスとプロバイダが一致する場合、差出人の確率が高いということでしょうか。 そうです。 「Subject」のすぐ上あたりでしょうか。 プロバイダだけでもわかれば、知り合いが利用しているということで判断できる場合があります。 捨ててしまってはどうしようもありませんが、相手には次回も同様なメールが届いたら、メールのヘッダを保存してもらうようにしましょう。 「Return-Path」はメールの経路によって、表示がない場合があります。 それを考えますと、アテになりません。 オンラインでのウイルスチェックができないということですが。 ウイルスチェックのプログラムをご案内します。 http://www.vintage-solutions.com/Japanese/Antivirus/Super/index.html 「アンチドート」というワクチンソフトの簡易版です。 日本ではなじみがありませんが「アンチドート」は知る人ぞ知る、プロ?のウイルス制作者も一目置く、「世界最強」のワクチンソフトです。

参考URL:
http://www.vintage-solutions.com/indexjpn.html
Hikari_96
質問者

お礼

追加情報ありがとうございます! お返事遅くなってスミマセン。 早速お勧めのプログラムで検索してみました。LANケーブルで繋いでいる別のマシンも検索しましたが、やはりウイルスは検出されませんでした。。。 しかしこのプログラム、ホントに凄そうですね。 世界最強と恐れられているプログラムであの価格(有料版)なんて! 有料版ならパターンファイルの自動更新あるのかな。。今後の為にも欲しくなってしまいました。 それから相手の方に次回届いたらヘッダを送ってくださいと頼んでありますが、現時点では、まだいただいておりません。私も早くスッキリしたいので見たいのですが、、。 「Return-Path」はアテにならないということをお聞きし、少し安心しました。私のところへ届くウイルスメールのヘッダの「Received: from ~」の部分は、たいがいが、ある大企業のドメインと大手のプロバイダからです。その企業と、私がばら撒いていると言ってきた人の会社は同職なので(←こちらも大手です)、きっとその人が感染しているのかな…。 # 私のメーラーには、両企業ともアドレス帳への登録はしていませんし、HTMLファイルやTXTなどのファイルにも、アドレスは一切記載していません。 Eina様や他の方のご意見を統合しますと、【「Return-Path」も偽装される可能性が大きく、また「Return-Path」はアテにならない】という結論に達しました。ご指摘のメールを頂いた方にも、その旨お伝えし、次回届くメールのヘッダの提出を再度お願いすることにします。 Eina様はじめ他の方々の貴重なご意見、本当にありがとうございました。

その他の回答 (5)

noname#5179
noname#5179
回答No.6

詐称されている例は、 http://memo.st.ryukoku.ac.jp/archive/200205.month/3801.html http://memo.st.ryukoku.ac.jp/archive/200205.month/3806.html http://memo.st.ryukoku.ac.jp/archive/200205.month/3809.html や、 http://memo.st.ryukoku.ac.jp/archive/200205.month/3821.html に実際の話が載っています。 また、recievedフィールドでも、ごく一部は詐称できますのでご注意を。 http://memo.st.ryukoku.ac.jp/archive/200205.month/3821.html

Hikari_96
質問者

お礼

TICS様、またまた貴重な情報ありがとうございました! 全ての例を読ませていただきました。100%詐欺しないということは言いきれないということですね。『絶対に詐欺しない』ということであれば、このような例は、ありえませんものね。 他の方のご意見も統合して考えると、『From』も『Return-Path』も『recieved』も100%詐欺してないとは言いきれず、一番確率の高い送信元は『Received from』の一番最初(ヘッダ内では一番下)に記載されている人が感染者の確立が高いということですね。 こうして考えると、ヘッダは大切な情報源ですね。あからさまに『あなたが感染していて困ってる』と相手に伝えるより、そう考えた根拠となるヘッダを添えて伝えれば、更に相手の方に親切な気がしました。 今回のウイルス騒動で、私なりに勉強になり教訓となりました。TICS様はじめ、他の方々の親切なご意見、本当にありがとうございました。

noname#6217
noname#6217
回答No.4

>「Return-Path」のアドレスも偽装するのでしょうか…。 偽装します。 高い確率で差出人を特定するには、メールヘッダの 「Received: from ~」からブロバイダとアドレスを確認します。 ・プロバイダとアドレスがあっている。 ・アドレスに覚えがある。 のであれば、問い合わせる価値はあります。

参考URL:
http://www.nai.com/japan/virusinfo/virK.asp?v=W32/Klez.e@MM
Hikari_96
質問者

お礼

お返事ありがとうございました。 偽装するのですか…! 各ウイルス情報のサイトに「感染したらレジストリを書き換える」と書いてありますので、毎日何度も何度も確認していますが、書き換えてる形跡が全く無く、アンチウイルスソフトでも反応が全くありません。 各ウイルス情報のサイトでは、「From」を偽装するということは断言して書いてあるのですが、「Return-Path」を偽装するのかしないのかは一切触れられていません。 しかし、相手の方は「Return-Path」のアドレスがあなたのものだから、「あなたがばら撒いている」と言いました。 その方がウイルスにお詳しいのかどうかは全く分かりませんが、そう断言されてしまい困惑しています。 もし本当に私がウイルスをばら撒いていたら申し訳ないですし、「Return-Path」も偽装するのかしないのかハッキリ事実関係が分かれば、私としても対策のしようがあるので質問いたしました。(OSの再インストールを3回していますが、その後もレジストリの書き換えは一切見当たりません。) >・プロバイダとアドレスがあっている。 >・アドレスに覚えがある。 これは、「Received: from ~」の部分のアドレスに見覚えがあって、そのアドレスとプロバイダが一致する場合、差出人の確率が高いということでしょうか。 以前私がその方に、何かの参考になるかもしれないのでヘッダをお教えくださいと伝えたのですが、もう全てのウイルスメールを破棄してしまったので送れないとのことでした。 でも確かに「Return-Path」のアドレスは、私のアドレスが記載されていたということです。また、「Received: from ~」のことについては一切何もおっしゃっていませんでした。 貴重なご意見ありがとうございました。

noname#5179
noname#5179
回答No.3

多分、質問内容から、考えて、「Return-Path」まで書き換えないだろうという話だと思いますが、セキュリティホールmemoというサイトのMLを読んでいると、Return-Pathを詐称したメールがちらほらと見られます。 さらにKLEZ.Hで、日本語がsbjectのKLEZも発見されています。 Envelope-Fromも書き換えるようですので、差出人の追跡が難しい状況です。

Hikari_96
質問者

お礼

お返事ありがとうございました。ゴメンなさい、私の書き方が上手くなかったですね。。 ウイルスに感染した覚えは無いのに早急に対処してくださいとのメールをもらい、感染した覚えが無いのに送信していたらどうしよう…という不安から、質問させていただきました。 私のアドレスは、「From」ではなく、「Return-Path」に記載されているそうです。「From」の偽装は理解されていますが「Return-Path」は実際の送信者だと言い張る相手の方の主張に、どうも理解しがたいものがあったので... 私から送信しているとは思えないので「Return-Path」も偽装されていると思いましたが、お詳しい方のご意見を聞き、自分は加害者なのか被害者なのかハッキリとさせたいと思っています。 TICS様のご意見では、「From」以外にも、「Return-Path」や「件名」「Envelope-From」までも書き換えてる事実が発見されているということですので、私がばら撒いているとは100%言い切れないということですね。ホッといたしました。私もそのサイトを探して見てみようと思います。貴重なご意見ありがとうございました。

  • Singollo
  • ベストアンサー率28% (834/2935)
回答No.2

わたし自身はKlezに感染したことはないので推測ですが、Return-Pathは転送経路の最後のサーバがエンベロープのMail Fromフィールドのアドレスをヘッダーに追加するもので(追加しないサーバもあります)、エンベロープは送信したプログラムが作成するものです Klezは独自のSMTPエンジンを使って自力でメッセージを送信するワームですので、当然エンベロープも作成できるはずです 実際にKlezがMail Fromフィールドを偽装するかどうかは存じませんが、Fromフィールドを偽装しておいてMail Fromフィールドを見逃すという方が不自然な気もします

Hikari_96
質問者

お礼

お返事ありがとうございました。私も、Fromフィールドをわざわざ偽装しているのに、Mail Fromフィールドを偽装しないってことに違和感を感じていました。わざわざFromを偽装しているのだから、「Return-Path」も偽装ではないかと...。実際に、私のマシンは感染症状が見られませんし。。 Singollo様のご意見では、このワームは自らSMTPエンジンを使って送信しているからエンベロープも自ら作成しているはずで、そうなると、Mail Fromフィールドも偽装しないと不自然だということですね。私も同感です。少し安心いたしました。答えてくださり、ありがとうございました。

  • takasuga
  • ベストアンサー率37% (231/612)
回答No.1

本当にウイルスに感染していないのであれば、なんともいえませんが、傾向上、確かにReturn-Pathは本人のアドレスを使用しているのは事実です。 ウイルスプログラムが入っていてもデータが古い場合はチェックしても意味がないです。 参考URLでオンラインウイルスチェックを行ってみてください。

参考URL:
http://www.trendmicro.co.jp/hcall/
Hikari_96
質問者

お礼

早速のご回答ありがとうございました。 このウイルスが発見された当初から、IE5.5をSP2にバージョンアップしていました。(ちなみに、メーラーはBeckyです。) また、私が利用しているプロバイダのPOPサーバーは常にウイルスチェックをしていて、こちらからウイルス付きのメールを送ろうとする場合、相手に送られずに自分に返されてきます。 更に、その方のメールアドレスを自分のアドレスブックに登録している事実はなく、その方の企業ドメインのアドレスも一切登録していません。 また、ハードディスク内にあるHTMLファイルやTXTなどのファイルにも、一切記載されていません。 以上の点から、その方の会社へ自分がウイルスを送るということが考えられなかったのですが、「From」は偽装するけれど「Return-Path」は偽装しないというのが、基本的な性質なのですね... 指摘メールを受けてから毎日何度もウイルスチェックしていますが、感染している結果が出ません。気分悪いので、OSの再インストールを3回もやりました。 オンラインでのウイルスチェックは、私の回線が細いせいか、昔から何度トライしてもフリーズしてしまいます。ですが、親切にお教えくださり、ありがとうございました。

  1. カテゴリ
  2. インターネット・Webサービス
  3. セキュリティ対策・ネットトラブル
  4. ウィルス・マルウェア

関連するQ&A

  • Klezの送信サーバー

    mitoizumiです。 Klezは送信者を偽装してウィルスをばらまく事がありますが、その場合、送信サーバーは何を使っているのでしょうか? OEのアカウント設定の送信サーバー(ISPのサーバー)なのか、Klez自体に送信サーバーが別に設定されているのか・・・ なぜこのような事が気になるかというと、私の使用しているISPは送信者のアドレスで認証をとっているので、自ISPのアドレス以外からの送信を拒否しているからです。 もしKlezが送信者を偽装して、ISPの送信サーバーを使用した場合は、送信者が拒否されて送信できないのでは・・・と考えました。 アドバイス・回答をよろしくお願いします。

  • klezについて教えてください

    最近社内のPCがklezに感染している可能性が非常に高いのですがウイルスが発見されません。 ある1つのアドレスにklezのウイルスメールがよく届きます。 このアドレスはインターネット上にオープンにしてあるアドレスで送信用に使用はしておらず、受信も社内ではしておりません。(いくつかのアドレスに転送しています。) また、このアドレス宛に「ウイルスメールがこのアドレスから届きました」というメールも時々受け取ります。mailer-daemonからのメールもよく届くので感染している可能性は高いと思い、ウイルスチェックしたのですがウイルスは発見されませんでした。(ノートンアンチウイルス2000にて検索。ウイルス定義は更新。) で、今またmailer-maemonからのメールが届いたのでヘッダを見てみたのですが、間違い無く、うちのメールサーバから送られているもののようです。感染の可能性としては非常に高いと思われるのですが、ウイルス検索で発見されない、という事は考えられるのでしょうか。 また、感染経路についてなのですが、oeを使用していなくてもieのバージョンが適切でないとプレビューすると感染するのでしょうか。 あと、感染ファイル(exeやpif)を保持していても何らかの症状が出るのでしょうか。 どう考えても感染しているとしか考えられないのですが、ウイルスが発見されないためとても困っています。 何卒よろしくお願いいたします。

  • Klezについて

    初心者です。 (1)ウィルスメールが頻繁に来ました。 (2)同じ時期に、知らないTさんと言う方から、「あなた(私)からウィルスメールが届いた」と言う内容のメールをもらいました。 まず(1)に関してですが私に来たすべてのウィルスメールのプロパティを見たところ、共通のアドレスなどがありましたのでプロバイダーにコピーを送り調べていただいたところ、Klezというウィルスである事、発信者、その人が契約しているプロバイダーなどがわかりその人のコンピューターを回収の上ウィルス駆除の処置をするとの連絡がありました。 次に(2)に関してですが、Tさんにプロパティをコピーして送っていただくことを要求しましたがすぐに削除されたので、残念ながらプロパティをみることはできませんでした。プロバイダーに調べていただいたところ、こちらもKlezによる事象で私のアドレスが詐取されたためと言われました。 質問いたします。 (a)私にウィルスを送信した(1)と私のアドレスを詐取した(2)は同じKlezですが、発信元が同じ可能がありますか? (b)私の詐取されたアドレスで今もなおウィルスメールはどこかで送信されているのでしょうか (c)OEのアドレスを詐取されたのですが、一応、パスワードは変更しましたが無意味でしょうか?アドレス変更もしたほうがいいのでしょうか? よろしくお願い致します。

  • ウィルス WORM_KLEZ.G 

    昨日2通今日2通ウィルスつきメールが送られてきました。 outlook express を使用していますが メール受信の際、ウィルスバスターがWORM_KLEZ.Gを発見しました。 そのメールは削除し、削除ずみアイテムからも削除しました。 その後ウィルス検索をかけてもウィルスは発見されませんので 私のPCが感染していることは無いと思います。 もちろん、プレビューウィンドウは設定していませんし ウィルスバスターも最新版にアップロード済みです。 この4通のメールのソースをコピーしてあるのですが Return-Path: ~ の部分が4通とも同じです。 From: ~ は4通とも違います。 これはどういうことでしょうか? ソースは一応残してありますが私は詳しいわけではないので どなたかお分かりになる方にご回答いただけたらと思います。 また、Return-Path: ~ From: ~ のアドレスに 連絡したほうがいいのでしょうか? よろしくお願いいたします。

  • Klezウイルスのメールが送られてきて、困ってます。

    今までにウイルスが送られてきたことなんてなかったんですが、ここ二週間ぐらいKlezというウイルスに感染したメールが毎日のように届きます。 差出人は知り合いは一人もいなくて、みんな知らない人のメールアドレスです。 でも私のメールアドレスは合っているので、個人情報が漏れているのかなとも思います。 なぜ知らない人から私のところにメールが送られてくるのでしょうか? また、送られてこないようにすることはできるのでしょうか? 幸い、ノートンを入れてあって毎日のようにウイルスファイルを更新しているので 感染はしていないようですが。送られてきたメールおよび添付ファイルは、検疫してからすべて削除しています。

  • klezについて

    ここのところ、毎日klezウイルスが来ます。(削除済み) 気になるのは、メールヘッダーを見ると、@yahoo.co.jpアドレスなのです。 なぜかと言うと、普段は、ISPアドレス(メイン)だけでメール交換してます。 @yahoo.co.jpは、地元の掲示板に書いているだけで、今まで、このアドレスで、一度もメールを送った事がありませんし、送られて来たことはありません。 このようなウイルスメールが来るのは、掲示板を見た誰かが、嫌がらせで、送って来ているのでしょうか?

  • WORM_KLEZ.Hで困ってます

    WORM_KLEZ.Hで困ってます。 私の元に、WORM_KLEZ.Hが大量に届きます(私は、ウィルスバスターを入れているので発見できた) それで、メッセージのヘッダーを確認しました。 From ********@mc2.seikyou.ne.jp Tue, 28 May 2002 20:25:56 -0700 Received: from [61.122.128.84] by hotmail.com (3.2) with ESMTP id MHotMailBEBD94ED000B400431CD3D7A805474B91; Tue, 28 May 2002 20:24:33 -0700 Received: from Ghriie (122135091.ppp.seikyou.ne.jp [61.122.135.91]) by mc2.seikyou.ne.jp (8.9.3/3.7WNSK99010601) with SMTP id MAA19190 Wed, 29 May 2002 12:05:15 +0900 Date: Wed, 29 May 2002 12:05:15 +0900 Message-Id: <20020529****.********@mc2.seikyou.ne.jp> From: ********** <*******@docomo.ne.jp> To: *********@hotmail.com のようになっています。 おそらく一番上のFromがこのウィルス感染者で、下のFromはウィルスによって送信者を偽造されたものと考えています。hotmail.comは私のアドレスです。 それで、送信者が昔ネットでの知り合いでしたので、ウィルスに感染してますよ、とメールで出したのですが無視されて、今も尚、ウィルスを送られ続けています。 毎回、送信者を偽造されるために、特定の送信者を禁止という方法をとることができません。どうすればよいのでしょうか?このメルアドを捨てることはできません。仕事で使うので、添付メールもたまにあります。

  • Klez_Hとメールソフトの関係

    Klez_Hに感染したんですが、友人のところにはどこにもウイルスは行っていなかったのです。 (念のため、私のメルアドで行くとは限らないタイプだということはわかっています。) メーラがアウトルックではなく、日本製のフリーソフトを使っていたためかな?と思ったのですが、よくわかりません。 同じKlez_Hに感染した人は、OEを使っていて、アドレス帳に載っていた人たち全員にウイルスメールが行ってしまったとのことでした。 ウイルス関係詳しい方、回答をお願いいたします。

  • ウイルス(Klez.E)について

    こんばんは。 過去の質問も検索し、ネットでも調べたのですが、 不安なので教えていただきたく思います。 初歩的なことかもしれませんがよろしくお願いします。 昨日、Outlook Expressに Subject: Worm Klez.E immunityというメールが着て、 初めてこれがウイルスだと知りました…。 怪しかったので添付ファイルは開いていないし まあ大丈夫だと思いつつも色々調べてみると、 メールをプレビューしただけで感染することもある、 と書いていました。 プレビューって何かもわかっていませんでしたが、 普段からどうもプレビューでメールの本文を読んでいたようです。 そこで不安になり、オンラインのSymantec Security Checkで、 感染していないかチェックしてみたところ、 幸い、感染したファイルは検出されませんでした。 ・ということは、感染していないんですよね? ・メールの本文を読んだだけで感染する場合もあるが、 感染しない場合もあるということでしょうか? ・もし感染していて、勝手にどこかに ウイルスメールが送信されていたとしても、 送信トレイには残らないので、 感染しているPCの持ち主は気付かなかったりするのでしょうか? 回答よろしくお願いします。

  • ヤフーオークションの登録メールアドレス

    ヤフーオークションを利用していますが、Yahoo BB会員なので、現在は「○○@ybb.ne.jp」のメールアドレスで取引しています。 以前にダイアルアップの時に、Klezウイルスメールが頻繁に着たときがありました。 友人たちに問い合わせましたが、Klezウイルスメールが着てるのは私だけでした。 しばらくして全く知らない人から「ウイルスメールがあなたからきています。いい加減にしてください。」というようなメールがとどきました。 その方には私はウイルスに感染してない事(ウイルス対策ソフトを使用)、Klezは送信者を偽装する事を説明し、過去にオークションで取引した事があるのか?連絡しました。その方もオークションを利用しているとのことでしたが、私とは取引した事がないとのことでした。推測ですが、たぶんその方と私が過去に取引した方がウイルスに感染していて、Klezが送られてきているのではないかと思いました。 そういうことがあったので、アドレスの変更が出来ない「○○@ybb.ne.jp」のアドレスではなくて、フリーメールアドレスを使いたいのですが、Yahooの説明には「○○@yahoo.co.jp」のアドレスは登録できないとありましたが、「○○@msn.com]」のアドレスもやはり登録できないのでしょうか?

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する