- ベストアンサー
送信者の特定について。
トラブルで困っておりますので質問させていただきます。 私の会社はアウトルックのExchangeサーバーを利用しています。 特に指定の席はなく、どの席に座っても自分のIDパスワードでログインすれば、自分のメールはアウトルックでダウンロードされ不自由なく使えます。 最近送信されたメールが問題になったのですが、その送信元は私になっておりました。 しかし、私は記憶になく、、、。 そこで質問なのですが、悪意のある第三者が社内のどこのパソコンで勝手に私のIDでログインしてメールを送信したのか判別する術はありますか? 問題のメールのヘッダーを見ましたが、よくわかりませんでした、。
- ネットワーク
- 回答数9
- ありがとう数0
- みんなの回答 (9)
- 専門家の回答
質問者が選んだベストアンサー
> fromの書き換えなどではなく、本当にidの乗っ取りの場合は、私の社内の環境下では誰がやったのかの犯人探しは難しそうですね、、。 そうですね。そのためにも、まずメールサーバーのログを管理者に確認してもらって Fromの偽装なのか、IDの乗っ取りなのかをはっきりさせたほうがよさそうです。 IDの乗っ取りなら、今後メール以外にも不正使用される可能性も高いですから 利用状況に合わせた根本的な対策が必要です。
その他の回答 (8)
- superside0
- ベストアンサー率64% (461/714)
> 自分のノートブックからと、適当な1台のデスクトップから、自分宛にメールを送ってみました。すると、同じipアドレスがヘッダにでていました。 ということは、 社内LAN内にメールサーバー (Windows ServerのExchange Server)が設置されているのではなく、 Office356や、Exchange Online等のクラウド型(インターネット上の)のメールサーバーを使っているんじゃないですかね。 だとすると、メールのヘッダーの最下のReceived:に記録されている接続元IPアドレスは、 端末を確定できるローカルIPアドレス(内線電話番号みたいなもの)でなく、 会社のグローバルIPアドレス(代表電話番号みないなもの)となるので 同じ社内からだと、どの端末からのメールでも同じになってしまいまいますので。 補足ですけど、メールのFromアドレスは、簡単に擬装可能ですので、 それだけでは、実際に誰がどこから出したメールかや、 ましてやメール送信したPCのログインIDやメールソフトまでは特定出来ません。 例えば、迷惑メールのFromアドレスに 実在の社員のメールアドレスが 擬装されてきた というようなことはよくありますし、 メールヘッダに記録されているメール送信時のIPアドレスが社内だとしても、 わざわざ、他人のログインIDの乗っ取りまでしなくても、自分のアカウントをそのまま使って、Fromだけ他人に書き換えて出すということもできます。 また、可能性でいえば、社内のだれかがウィルスに感染して、そのウィルスが 連絡帳に載っているメールアドレスをFromやToに利用して ウィルスメールをばらまいているということもありえます。 なので、メールヘッダのRecived:のIPアドレスだけでば、今回の場合 ちょっと端末やユーザーの確定は難しいように思います。 ただし、もしOffice365やExchange Online等のクラウド型のメールサーバーであっても メールサーバーには、該当のメールを送信したときのログが記録されているはずなので、 管理者権限で、送信日時前後のログを確認すれば、 そのときの認証に使ったアカウント(ユーザーID)は、確認できる可能性はあります。 (Fromがなりすましされたとしても、認証アカウントはなりすましはパスワードを知られてない限りは出来ませんので)
- bunjii
- ベストアンサー率43% (3589/8249)
>いえ、私は管理職なので固有のノートブックを支給されてメールを使っています。 後出しジャンケン的な情報の後出しは止めてください。 まさか、IT管理者の管理職ではないですよね? IT管理者(実務担当)と相談された方が良いでしょう。 あなた宛てであなたが送信者である迷惑メールが届くことが有れば社内ネットワークのセキュリティに問題がありますのでIT管理者に対策するよう指示すべきです。(社内の悪戯とは限りません) >メールを送るときにパスワードは必要なく、パソコンのログインの際に自分のI.D.とパスワードでログインすれはば、はじめは読み込みに時間かかりますが自分仕様のアウトルックが利用できます。 メールを送るにはアウトルック(Microsoft Outlook?)を起動しますよね? その時、受信メールを読み込むためにパスワードが必要です。 そのパスワードをアウトルックへ記憶させている場合はパスワードの入力を要求されませんが記憶させていないときはパスワードを入力する必要があります。 また、Exchangeサーバーにログイン(サインイン)していないとメールの送信はできませんので「メールを送るときにパスワードは必要なく」は誤りです。 >自分のノートブックからと、適当な1台のデスクトップから、自分宛にメールを送ってみました。すると、同じipアドレスがヘッダにでていました。 そのIPアドレスはExchangeサーバーのIPアドレスではないでしょうか? 「自分のノートブック」や「適当な1台のデスクトップ」のIPアドレスを確認されましたか? メールの送受信について知識が無いのにヘッダーを読んでも参考になりません。
- bunjii
- ベストアンサー率43% (3589/8249)
>その席に固有のパソコンが設置されています。 あなたは何時も同じ席でメールの送受信をされていますか?(何時も同じパソコンで送受信していますか?) また、メーラーには毎回あなたのアカウントを入力してパスワードも毎回入力するようになっていますか?(完了後にメーラーのアカウントを削除していますか?) メーラーにあまたのアカウントを登録したままで、然も、パスワードを記憶させた状態なら誰でもあなたに成りすますことが簡単にできます。 誰があなたのメールアカウントを悪用したかの追及は難しいでしょう。
補足
いえ、私は管理職なので固有のノートブックを支給されてメールを使っています。しかし、大多数の社員は固有ではない様々な席のデスクトップを使っています。 メールを送るときにパスワードは必要なく、パソコンのログインの際に自分のI.D.とパスワードでログインすれはば、はじめは読み込みに時間かかりますが自分仕様のアウトルックが利用できます。 一応私もこの件があってから実験してみたのです。 自分のノートブックからと、適当な1台のデスクトップから、自分宛にメールを送ってみました。すると、同じipアドレスがヘッダにでていました。
- bunjii
- ベストアンサー率43% (3589/8249)
>私の会社はアウトルックのExchangeサーバーを利用しています。 >特に指定の席はなく、どの席に座っても自分のIDパスワードでログインすれば、自分のメールはアウトルックでダウンロードされ不自由なく使えます。 Exchangeサーバーは社員相互の連絡用ですよね? 「どの席に座っても」ということはその席に固有のパソコンが設置されているということですか?、それとも社員毎に貸与されたパソコンをどの席に座っても同じパソコンを使用するのですか?(あなた専用のパソコンが有るのですか?) >そこで質問なのですが、悪意のある第三者が社内のどこのパソコンで勝手に私のIDでログインしてメールを送信したのか判別する術はありますか? 前述のパソコンの使用状況が分からないので的確な回答は困難です。 あなたのメールアドレスは社内で周知されていると思いますので他の社員があなたのメールアドレスを騙って送信することは可能と思います。 あなたのメールアドレスのパスワードを誰かに教えたり、あなたが受信メールを読んでいる途中で席を外したりすると簡単になりすましができてしまいます。 それをあなたが送信していないと証明することはできないでしょう。(悪魔の証明) 何れにしても社内の問題なので上司や先輩と相談された方が良いと思います。 名誉棄損や虐め(パワハラ等)の問題でしたら弁護士と相談しなければならないでしょう。
補足
その席に固有のパソコンが設置されています。この場合はやはりわかりませんか?
- chachaboxx
- ベストアンサー率23% (412/1777)
「私が実際に送信したメールのヘッダのIPと同じ」の意味が、 あなたが以前に誰かに送ったメールの配信PCのIPと、詐称メールが送られた配信PCのIPが同じということであれば、IPも詐称されていなければあなたが以前に操作したPCから送ったことになります。その時間あなたがそのPCを操作していたのなら、あなたが席を外した時間に第三者に操作されたということになります(ログオフしていなければなおさら)。その時間にPCを操作していないか別のPCを操作していたのなら、詐称メールIPのPCがあなたのアカウントで不正(重複)ログインしたことになります。この場合、フロア内の監視カメラの記録でもないと、犯人はわかりません。 メルアドのパスワードもそうですが、ログインのパスワードも先ず推測不可能なものに変更し、それでも解決できないようなら、別の原因(不正ログイン以外)が考えられますね。。。共有PCの場合、リモート操作等でデスクトップがハッキングされているとかがあり得ます。
補足
なるほど、、、。私はPC毎にIPアドレスが割り当てられると思っていました。私がずっと目の前のパソコンを操作している間に、詐称メールが送られました。
- chachaboxx
- ベストアンサー率23% (412/1777)
先日も同様の回答をさせていただきましたが、再度、確認してみてください。 1)ログインしたPCで自分のメールアカウントで送受信できるのであれば、送信済みメールフォルダ及びゴミ箱に該当する詐称メールはありますか? もしあれば、その時間(送信時刻)貴方はPC(他機を含め)を操作していましたか? 操作していたなら、期間システムが重複ログインを許可していることになりますので、システム部門に重複ログインユーザーを確認依頼して下さい。 もしなければ、別ユーザーが別PCでログインして、あなたのメールアカウントでメールを送信したことになります。先ずはメールアカウントのパスワードの変更を申請して下さい。 3)送信元があなたと判断した根拠はなんですか?メルアド? 上記の通り、メールはメールアカウントのパスワードがわかれば社外からでもスマホからでも誰でも送信できます。 4)ヘッダーを見た結果、最初(最下段)の『Received: from』のIP及び発信時刻(JST)を判別することができましたか?因みにヘッダーは詐称メールのヘッダーですので、受信したユーザーのPCで確認することになりますよ。 以上
補足
重複ログイン可能な状態です。 最下段のIPアドレスは、私が実際に送信したメールのヘッダのIPと同じでした。
- neKo_quatre
- ベストアンサー率44% (735/1637)
> 悪意のある第三者が社内のどこのパソコンで勝手に私のIDでログインしてメールを送信したのか判別する術はありますか? あるにしても、システム管理者の権限なんかが必要かも。 まずは上司や会社に相談とか。 メールの送信日時に、どのPCからログインしていたのか、メールサーバ等に記録を残す設定にしてたんでないと難しいかも。 メールの送信日時は、質問者さんや一般の社員は在籍していた時刻なんでしょうか? 通常は二重にログインできないハズですが。 深夜とかにそういう事されたなら、PCごとの起動/終了時間の記録はシステムのログなんかで確認できるかも。
- t_ohta
- ベストアンサー率38% (5253/13739)
メールヘッダーの「Received:」フィールドがメールサーバが中継した記録になります。 下の行ほど古い情報となり、ヘッダー内の一番下に出てくるのがパソコンからメールサーバへ送られた際の記録となります。 from ***** と書かれた部分が送信元の情報で、by *****と書かれた部分が受け取ったメールサーバの情報です。 それを元に、会社の情報システム部でどのパソコンなのか特定してもらうしかないでしょうね。
補足
なるほど。。。、一番下のIPアドレスが、私のメールと全く同じでした。となると特定は厳しそうですね、、。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/images/related_qa/c205_4_thumbnail_img_sm.png)
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/images/related_qa/c205_3_thumbnail_img_sm.png)
補足
回答有難うございます。となると、fromの書き換えなどではなく、本当にidの乗っ取りの場合は、私の社内の環境下では誰がやったのかの犯人探しは難しそうですね、、。