[orca-tech:01618] Re: どなたかゾンビPCと化していませんか？

[Moriya Akinari <moriya.fp.akinari@xxxxxxxxxxxxxxxx>]

萩原先生
管理人様

　萩原先生，レスありがとうございました．

萩原先生wrote:
>管理人のメールしたんですが------　なんともないとの返事でした。

　おそらくMLサーバーには問題ないと思います（そちらが感染しているなら大問題です）．

　この際送信元IPを書いてしまいますが…．

　4月19日配信のスパムメールのヘッダを見てたどりうる最上流の送信元を書き出してみると，

「from ns1.orca.med.or.jp (78.155.12.61.ap.gmo-access.jp [61.12.155.78])by orca-c7.orca.med.or.jp」

となっています．
　「ns1.orca.med.or.jp」から「orca-c7.orca.med.or.jp」に送信されたということですね．後者の「orca-c7.orca.med.or.jp」はORCAプロジェクト内の何らかのサーバーとして問題ないでしょう．

　しかし見かけ上の発信者「ns1.orca.med.or.jp」は明らかに成りすましです．
　その直後のカッコ内の一見IPアドレス風の「78.155.12.61」はwhoisサービスで検索してもJPNICには登録がないようで，NetworkSolutionのwhoisサービスで検索すると「IANA reserved」になっていますのでいかなる団体・企業も使用していないはずです．
　さらにその後方にある「61.12.155.78」が隠しきれない本当の発信元のはずで，これをwhoisで検索するとJPNICにちゃんと登録があり，とある株式会社です（一応実名は書かないことにしておきますがwhoisで調べれば一発です）．

　ネットで検索してみるとこの株式会社はプロバイダに後方で回線を提供する事業がメインのようです．ただし直接ユーザと契約するプロバイダ事業もグループ内で行っているようです．

　可能性としては，

■この株式会社の下流にあるプロバイダと契約している悪意ある発信者がいる
■この株式会社の下流にあるプロバイダと契約しているゾンビPCと化した感染ユーザがいる
■この株式会社のグループ内プロバイダと契約している悪意ある発信者がいる
■この株式会社のグループ内プロバイダと契約しているゾンビPCと化した感染ユーザがいる

のいずれかでしょうか．

　この株式会社は「当社では、ネットワーク上の迷惑行為に対して決して容認することなく断固とした対応を取っています。」とホームページ上で宣言しており，「2006年1月○○日　迷惑メール対策ロードマップを発表いたしました。」としてプレスリリースをしていますので，連絡をとれば何らかの対策をとってくれるかもしれませんが，管理人様いかがでしょうか．


　ORCA・日レセの技術的な情報交換を旨とするMLにスパムが繰り返し流れるのも望ましくないと思いつい出しゃばったことを書いてしまいました．失礼はお許し下さい．

■□￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
□
|　　守屋章成　医師
|
|　　特定医療法人社団　カレス サッポロ
|　　家庭医療クリニック 西岡
|
|＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿