差出人の”hotmail.com”は嘘 陽気なテンションで「こんにちは~!」と送られてきたのは、自称プログラマーと言う 偽ハッカーから(笑) 内容は、アダルトハッキングメール。 要は、トロイの木馬と言うマルウェアに感染させデバイスのフルコントロールを獲得し デバイス内の情報やの取得や、アダルトサイトを見ながら自慰行為をしている姿をデバイスの カメラとマイクを使い動画を保存したと。 それらの動画をデバイス内にあるアドレスに拡散されたくなければ、45時間以内に19万円 相当の仮装通貨をビットコインを利用して支払えと言うもの。 件名は 「[spam] こんにちは〜!」 ハイテンションですね。ラテンのノリですか? それともやっちゃってます?(笑) ”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは 全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”こんにちは” <sumire_hanasigure@hotmail.com>」 差出人名まで「こんにちは」ですか…よっぽど能天気ですな。。。 メールドメインの”hotmail.com”は、Microsoft社が運営するフリーメールのドメインですね。 ま、これも偽装の可能性もあり当てにはなりません。 では、このメールのヘッダソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<lbaeolkpc@yay.org>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 ここのドメインが”hotmail.com”ではないので、この時点でどちらかの偽装が発覚です。 | Message-ID:「<A9759C62EE81F64A1E38F5B1C21F0449@yay.org>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from yay.org (unknown [182.84.74.8])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | 自称ハッカーさんは中国からメールを送った?! では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう! 表示されているのは「中国 江西省 吉安市 吉州区」と出ています。 あくまでおおよその位置ですが、この自称ハッカーさんは、この位置に設置された メールサーバーを介してメール配信を行っているようです。 ついでですが、先程のヘッダーソースにある”Return-Path”などで見かけたドメイン”yay.org” 偽装かも知れませんが一応サラッと調べてみました。 逆引きすると割当ててるIPアドレスは”3.33.152.147”と分かりました。 このIPアドレスを使い持ち主などを調べると… 持ち主は「アメリカ・ネバダ州・レノ」の方のようです。 ”Registrant Organization: Amazon Technologies, Inc.”とあるので、このドメインの管理は アマゾンに委託されているようです。 あくまで偽装の可能性も頭に入れておいてください。 まとめ アダルトハッキングメールには、リンクなどないので不完全燃焼ながら調査はこれで終わり。 メールに書かれているようなフルアクセスコントロールなんて現実的に難しいと思います。 逆に端から嘘だと思って読んでみてください。 また違った面白さが見えてくきます!(笑) いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |