「迷惑メール」の分析と対処!

公開:2006.03.26
訂補:2008.06.21

迷惑メール…、この果てしない闘いに勝利するためには、まず「相手を知ること」が大切です。ただし、相手の罠にはまってしまっては無意味。まずは「相手と接触を持たない」ことを徹底することです。

 

さて、迷惑メールの「送信元になっているメールアドレス」です が、これは、「そのアドレスが正しいものとは限らない」んです。知ってました? 偽装するのも簡単なことなんですよ。ただ、自分で調べることは困難なので、まずは送信元となっているプロバイダーに問い合わせてみましょう。そのアドレスが実際に使われているものかどうかを調べてくれます。ただ、ほとんどの場合は、そのアドレスから発信したものではありません。んじゃ、どこから送信してるの? はいはい、ちゃんと調べる方法がありますよ。

まずは、送信されてきたメールを「証拠物件」として、安全な形で保存しましょう。メールの拡張子は「.eml」ですが、このままだとウイルスなどがくっついていた場合、それも一緒に保存してしまうことになるので、安全な「.txt」 文字だけのテキストファイルに変えて保存します。

また、メールには必ず「ヘッダ情報」というのがあります。これには発信元のIPアドレス(接続業者 に割り当てられている固有の番号で、一定の範囲が定められている。)が必ず記載されていて、こればかりは偽装することは出来ません。それを抜き出して調べると、接続業者の名称と所在地、連絡先メールアドレス、場合によっては住所や電話番号まで判ります 。ですから、「メール本体とそのヘッダ情報」を一緒に保存することが証拠として重要なのです。

さて、以上に記載した方法を実行する手順を、順を追って説明しますね。

 

● 「分析」と「安全な証拠保存」のための手順
  (目次の青い文字を左クリックすると、項目を直接ご覧になれます。)

  1. 迷惑メールのヘッダ情報の保存。

  2. メール本体を安全な形式に変えて保存。

  3. ヘッダ情報の貼り付け。

  4. 完成した「迷惑メール文書」を保存。

  5. ヘッダ情報からIPアドレスを探す。

  6. IPアドレスを 検索して「発信元ネットワーク」を突き止める。

  7. プロバイダーに対処をお願いする場合の宛先と文面。

7.は「元から断つ」手段として、ワタクシのオススメです。

まずは、迷惑メールのヘッダ情報の保存!

 

ただメールソフトに受信しただけでは、そのメールの「本当の発信元」を知ることは出来ません。
まずは、「メールのヘッダ情報」を表示させ保存するところから始めます。
「メールの履歴書」のようなものだと言えば解ってもらえるかな? では、行きます!

まずは迷惑メールを選択します。
そして下図のように、マウスを右クリックしてメニューを表示させ、「プロパティ(R)」を左クリックします。

 

ここまでうまく出来たかな? では、次に進みますよ。

「プロパティ」を左クリックしたら、下図のようなボックスが表示されます。

うまく出せましたか? 

次は「詳細」というタブを左クリックします。すると上のような画面になります。
「このメッセージのインターネットヘッダー」と書いてありますね。そう、これがこのメールの「履歴書」。
ここには発信元のIPアドレス情報もバッチリと書かれています。

では、ここの文章をまるごとコピーしてしまいましょう。
この表示されている文字の上で右クリックしてメニューを出し、「すべて選択(A)」を左クリックします。すると・・・

 

 

この上の図のように、文字の部分が青くなります。そして、この状態で…

 

右クリックメニューの中から「コピー(C)」を選び、左クリックします。これでこの部分の文章はコピーされました。

では、次にメール本体を
安全な形式に変えて保存しましょう。

 

ひとまず、先程のウィンドウを「OK」ボタンをクリックして閉じます。
んで、次は…と、保存する迷惑メールを選択します。
次に、メールソフトのメニューバーにある「ファイル(F)」を左クリックし、「名前をつけて保存(A)」を左クリックします。

 

 

ここまで大丈夫ですか? 次に進みますね。

この「名前をつけて保存(A)」を左クリックすると、以下のような画面が表示されます。

「このメールの保存先の場所」と「保存の形式」を問いかけているのです。
ここでは「デスクトップ」(いつもモニターに表示されている画面上)に「迷惑」という名前のフォルダを作って、
そこへ保存しようとしています。

 

 

そして、画面下部に「ファイルの種類(T)」という項目がありますが、
この項目の右端にある↓をクリックして「テキストファイル(*.txt)」を選びます。
選んだら「保存」ボタンを左クリックして下さいね。

これで安全にメール本体を保存できました。(^-^) 

でも、これだけでは、肝心の「ヘッダ情報」を保存できないので、
このメールの後半部に追加するカタチで書き足して保存しましょう。

では、ヘッダ情報の貼り付け〜♪

 

今回の場合、メールの本体は、テキスト文書形式に変換した上で、デスクトップ上の「迷惑」というフォルダに保存しました。

では、その「迷惑」フォルダの中にある、このメールを表示させましょう。
大丈夫、文字だけのファイルにはウイルスは寄生する事が出来ないので、感染の心配はありませんよ。(^-^) 

さて、表示させましたか? 
次に、この文書の一番最後の文字部分にマウスを移動させ、右クリックします。
すると…、下図のような画面になります。確認して下さいね。

 

右クリックメニューが出てきましたね。この中の「貼り付け(P)」を左クリックして、
二つ前の手順でコピーした「メールのヘッダ情報」をこの部分に貼り付けます。すると、その結果は…、

 

こんな具合に、うまく貼り付けられましたね。(* ^ー゚)  
このグチャグチャした部分に「大切な情報」が記載されているんですよぉ。

では、完成した「迷惑メール文書」を保存しましょう。

ウィンドウ上部のメニューバーにある「ファイル(F)」を左クリックします。
するとメニューが出てくるので、その中から「上書き保存(S)」を左クリックします。
これで保存も完了! これまでと同じタイトル(ファイル名)のままで保存されました♪
「証拠の保存」はこれで完了です!

(*^^)//。:*:°'★,。:*:♪°'☆ぱちぱち

さて、ここまで出来たら次は…

IPアドレスを探しましょう。

 

この英文のようなところの中にあります。どこかと言うと・・・
IPアドレス(接続業者 に割り当てられている固有の番号で、一定の範囲が定められている。)

 

 

もう判りましたね。「X-Originating -IP」という部分。この次にある数字の集まりが、送信元の「IPアドレス」です。

IPアドレスを検索しましょう。

 

実は、このIPアドレスから、プロバイダーを割り出すことの出来るページを見つけました! 

日本には「日本ネットワークインフォメーションセンター」(略称:JAPIC)というのがあって、
国際的に運用・管理される必要のあるIPアドレスを扱う国内唯一の組織で、
JPドメイン名の公共性担保、ICANNとの国際的な協調などの公益目的実現のための業務に取り組んでいます。
これのアジア版とも言える「アジアパシフィックネットワークインフォメーションセンター」(略称:APNIC)もあります。
そちらのデータベース(関連し合うデータを収集・整理して、検索や更新を効率化したファイル。)で、
IPアドレスを元に通信業者を検索することが可能になっています。

ちなみに、このメールには…、

X-Originating-IP:222.171.79.121という記載がありますが、これを「IPアドレス」といいます。
これは、送信元のプロバイダー(インターネット接続業者)ごとに割り当てられた番号で偽装できません。

(「Originate = 発信元」という意味です。)

これを元に、まずはアジア地域から送信されたものと仮定して、「APNIC」のデータベースのページで検索してみましょう。 「APNIC」はアジア地域のプロバイダー情報を管理しています。その他の地域にも、地域ごとに管理団体があります。

こちらで検索結果が表示されなかった場合、そのメールはアジア地域以外の場所から送信されているものと考えられるので、その場合には、 後述の「参考リンク」のリンク先で調べてみましょう。

さて、検索方法は簡単です。

このページの「Search for」という窓に、このIPアドレスを入力して、「Search(サーチ)」ボタンを左クリックするだけ。
(「Search WHOIS」などという表記のものもありますが、これと同じ意味です。)

ほんの数秒も待てば「結果」が表示されます。

さて、このメールの本当の送信元はどこ…???

 

はーい! 出ました!! (*^^)//。:*:°'★,。:*:♪°'☆ぱちぱち

netnameは通信業社名、countryは国名。この場合は「中国」ですね。

通信業者名の部分を日本語に翻訳したところ、「黒龍江省」と出てきました。
この「迷惑メール」は、中国の黒龍江省にある
「HAEBIN TELECOM」というプロバイダーのネットワークから送信された、ということが判りました!!

ここにメールアドレス表記が在ったので、
この会社宛に「何らかの対策をお願いします。」とメールを送りました。(一般的には英語表記で送信します。)

まだ返信はありませんし、迷惑メールも相変わらず送り続けられていますが、
何らかの進展があれば、と、ちょっと期待しています。

●迷惑メールが止まりました! 2006.04.04追記 こちらからご覧下さい! →

また、(財)日本データ通信協会では、迷惑メールなどの情報を受け付けています。
そちらに迷惑メール本文とヘッダ情報などを送ることによって、何らかの措置をとって貰うことも期待できますね。

こちらのページで受け付けられています。

また、対処方法・防止方法などの情報も公開されているので、
お困りの方は、是非ご活用下さい。

プロバイダーに対処をお願いする場合の宛先と文面

訂補:2008.06.21

迷惑メールを発信する時には、必ずプロバイダー(インターネット接続サービス業者)を通すことになります。いくらメールアドレスを偽装したとしても、根本的な送信元プロバイダーに割り当てられた固有IPアドレス情報は、メールの属性として必ず記載され、偽装することは不可能です。

このIPアドレス情報を利用して、送信元プロバイダーを見つけ出す方法は、前述したとおりですが、迷惑メールを根本的に断ってしまいたい場合、その業者に直接通知をすることにより、迷惑メールが届けられないように対処してもらえる場合があります。プロバイダーも迷惑メールには大変悩まされていて、大量に送信されて通信状況にも影響が出ることもあるそうです。前記の理由から、かなり積極的に対応してくれます。なお、プロバイダー側から返信されることはほとんどありませんので、受付確認等の返事が来なくても心配無用です。多少の手間を惜しまない方は是非お試し下さい。

(財)日本データ通信協会へも情報提供をしておくと良いでしょう。こちらのページで受け付けられています。

メールの送信先ですが、「e-mail」の項目で、「abuse」や「spam」という文字を見つけたら、そのアドレスを新規で作成するメールの宛先に入力します。これが、当該業者の迷惑メール等の受付窓口になります。

メールの件名ですが、私の場合は、
「An unwanted e-mail arrived to me from your provider.」 としています。意味は、「希望もしていないメールが貴プロバイダーから届きました。」ということです。

メールの本文ですが、これも英語で表記しましょう。

必要事項です。まずは「迷惑メールが貴社の利用者から届いて困っている事実」を記載します。そのあとに、「迷惑メールのヘッダ情報」を入力します。プロバイダーは、このヘッダ情報を分析して利用者を割り出し、適切な処置をしてくれることでしょう。

「こんにちは。下記のスパマー(ばらまき屋)は、頼んでもいないコマーシャル電子メール(「スパムメール」)を大量に出す目的で、あなたの設備を利用しています。また、送信元を誤魔化そうともしています。いずれにせよ、貴社のような合法的な会社は、多分この行為を良しとはしないと思います。下記は、貴社の必要とすると思われるすべての情報です。」

上記のメールに対するものではありませんが、実際に私の送信したメールの本文を転載します。

 

注:件名です。
 An unwanted e-mail arrived to me from your provider.

注:以下、本文です
Hello. The spammer below is either using your resources to send out bulk
unsolicited commercial e-mail ("spam") or is deceptively trying to make it
look like he is. In either case, a legitimate company like yours probably
would not approve. The information below should be all you need.

--begin full headers--

注:以下、ヘッダ情報です。

X-Apparently-To: 私のアドレス@ybb.ne.jp via 124.83.168.42; Tue, 17 Jun 2008 03:15:29 +0900
X-YahooFilteredBulk: 82.114.78.58
← 私はYahoo!BBを利用しています。Yahoo!BBのメール受信システムに装備された「迷惑メール判別システム」が、「Bulk」=「迷惑メール」と判別したことがわかります。
X-Originating-IP: [82.114.78.58]
← これが送信元のIPアドレス。偽装することは不可能です。
Received-SPF: none (vattnet.com: domain of rand.balducid@landtag-mv.de does not designate permitted sender hosts) 
← この部分の日本語訳:「rand.balducid@landtag-mv.deのドメインは、送り主ホストを示しているわけではありません。」。
Authentication-Results: ybbmta68.mail.tnz.yahoo.co.jp from=; domainkeys=neutral (no sig)
Received: from 82.114.78.58 (HELO vattnet.com) (82.114.78.58) by ybbmta68.mail.tnz.yahoo.co.jp with SMTP; Tue, 17 Jun 2008 03:15:28 +0900
Received: from 195.145.109.56 (HELO vmailpx2.mvnet.de) by ybb.ne.jp with esmtp ({nChar[8-12]} {nChar[4-6]}) id fkScD5-86q99V-Az for 私のアドレス@ybb.ne.jp; Mon, 16 Jun 2008 20:15:20 +0300
X-TM-AS-Engine-Type: TMASE
Message-ID: <16de01c8cfd4$8e13d560$c0a80009@Craige>
X-TM-AS-Product-Ver: TMAS_OE-5.0.0.1226-5.5.1027-15974007
X-TM-AS-Result: Yes-55.231-5.000-31
X-TrendMicro-AntispamAddin-Checked: 1
← 私はトレンドマイクロのウイルスバスター2008を利用しています。ウイルスバスターが「これは迷惑メールだ」と判断したことが記されています。
x-has-been-checked: 1
From: "Craige Turner" <Craige@landtag-mv.de>
「送信元アドレス」です。「.de」はデンマークかと思われます。もちろんこれは偽装で、実際にはパレスチナのコソボ地区にあるプロバイダーを利用して送信されたものです。
X-TrendMicro-AntispamAddin-QuarantineTime: 1213679932
To: "Randall Phillips" <私のアドレス@ybb.ne.jp>
← 「宛先」です。この部分がメールの「宛先」に表示されます。私の名前が「Randall Phillips」だなんて!(笑)
Subject: A great news for you and your sweetheart!
← 「件名」です。「あなたとあなたの大切な人への素晴らしいニュース」だそうです。(笑)
Date: Mon, 16 Jun 2008 20:15:20 +0300
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0007_01C8D085.11DCA600"
X-Priority: 3
x-has-been-detected_spam: 1
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512

 

●参考リンク

IPアドレスを管理している、世界各地域のネットワークインフォメーションセンターへのリンクです。

これらのページの「SEARCH」または「WHOIS SEARCH」という窓に、ヘッダ情報中の
X-Originating-IP: [***.***.***.***] 」の[ ]の部分の数字をコピーして検索ボタンをクリックすると、送信に利用されたプロバイダー(インターネット接続サービスの提供会社)を割り出すことが出来ます。もし結果が出なかった場合には、他地域を管轄するセンターのページで調べてみましょう。

注意していただきたいことは、割り出された業者が、私達に迷惑メールを送りつけている訳ではありません。たまたま悪意の送信者に利用されただけで、業者も私たちと同じ被害者なのです…。

APNIC (Asia Pacific Network Information Centre) - アジア地域 IP最初の桁 100〜200番台

AfriNIC (African Network Information Centre) - アフリカ地域

ARIN (American Registry for Internet Numbers) - 北アメリカ地域 

LACNIC (Regional Latin-American and Caribbean IP Address Registry) – ラテンアメリカとカリブ海地域の一部

RIPE NCC (Réseaux IP Européens) - ヨーロッパ・中東アジア・中央アジア地域 0〜80番台付近

迷惑メール発信元の7割はAPNICとLACNICとRIPEの管轄地域。ヤレヤレ ┐(´-`)┌ マイッタネ


基本的には、

迷惑メールは無視!

これが最大の対策だと思います。

…、といった工夫も必要なようです。

長々と書きましたが、他にも迷惑メールでお困りの方がたくさん居ると思います。
そんな皆さんへ、ほんのちょっとでも参考になるところがあれば幸いです。m(__)m

2006.03.26 野原のんた.

目次へ戻る  このページのトップへ戻る 直前のページへ戻る 表紙に戻る