偽装できない情報を調査

 なぜ偽装を見破れるのか。送信者が手を加えられない「Receivedヘッダー」を調べるからだ(図3-2)。ヘッダー情報のほとんどは送信者のメールソフトによって作成される。しかしReceivedヘッダーは異なる。メールを中継したメールサーバーによって追加される。このため、送信者が偽装することはほぼ不可能。

図3-2●カギは「Receivedヘッダー」
図3-2●カギは「Receivedヘッダー」
Receivedヘッダーは中継サーバーが追加するため、送信元の偽装を見破る手がかりになる。Receivedヘッダーの「from」以下に書かれているマシン名(ドメイン名)は自称なので詐称可能だが、通信に必要なIPアドレスはうそをつけない。このため、IPアドレスを逆引きした結果が、記載されているマシン名と異なる場合(あるいは、逆引きできない場合)には、なりすましメールの可能性がある。
[画像のクリックで拡大表示]

 Receivedヘッダーには、(1)そのメールを送ってきたマシンの情報が書かれた「from」(2)メールを受け取ったマシン(メールサーバー)の情報である「by」(3)そのメールの送信先アドレスを示す「for」の3種類の情報が含まれている。ただし、Receivedヘッダーの書式はサーバーによって若干異なる。例えば、メールサーバーの中には「for」を記載しないものがある。

 これらの情報の中で、aguse.netが主に調べるのは「from」。fromには、メールを送ってきたマシン名(ドメイン名)と、マシンのIPアドレスが記載されている。マシンの名称は「自称」であるため偽装可能だが、IPアドレスは通信に必要な情報なので、うそをつけない。

 そこでaguse.netでは、IPアドレスを基に調査した(DNSを逆引きした)ドメイン名と、自称のマシン名に含まれるドメイン名を比較し、それらが異なる場合には、なりすましの可能性が高いと判断する。

 ただし、偽装メールのすべてを見破れるわけではないので要注意。例えば、Receivedヘッダーには手を加えず、「Fromヘッダー」の情報だけを偽装しているメールについては警告を表示しない。

 Fromヘッダーとは、メールソフトの送信者欄に表示される情報のこと。この情報は送信者が作成するので、いくらでも偽装できる。Fromヘッダーだけを偽装したメールを調べたところ、「送信元を偽装していないようです」と表示された(図3-3)。

図3-3●「Fromヘッダー」はチェックしない
図3-3●「Fromヘッダー」はチェックしない
左は、実在するWebサイト「postcards.com」をかたる偽メールの一例。偽メール中のリンクをクリックすると、ウイルスが置かれたサイトに誘導される。このメールのヘッダー情報を「aguse.net」で解析した結果が右。aguseは送信経路(Receivedヘッダー)の偽装をチェックするため、送信者名(Fromヘッダー)だけが偽装されている場合には警告を出さない。
[画像のクリックで拡大表示]

 aguse.netでは、特定のWebサイトを詳細に調べることもできる(図3-4)。「Web調査ページ」で調べたいサイトのURLを入力すれば、サイトの登録日やIPアドレス、スクリーンショットなどを表示する。

図3-4●Webサイトの詳細も調べられる
図3-4●Webサイトの詳細も調べられる
「aguse.net」のWeb調査ページでは、WebサイトのURL(アドレス)を入力すると、そのサイトの詳細を調べられる。図は「PCオンライン」を調べた例。各種ブラックリストへの登録状況も確認できる(右)。
[画像のクリックで拡大表示]

 また、インターネットで公開されているブラックリストサイトにアクセスして、そのサイトが詐欺サイトや有害サイトとして登録されているかどうかも調べてくれる。

2007年12月9日に発生した障害により、本来のサイト「http://www.aguse.net/」にアクセスできない状態が続いている(2007年12月12日現在)。その後、2007年12月17日にサービスのURLが
http://www.aguse.jp/」に変更された。

出典:日経パソコン 2007年12月24日号 64ページより
記事は執筆時の情報に基づいており、現在では異なる場合があります。

この先は会員の登録が必要です。今なら有料会員(月額プラン)は12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら