メールの添付ファイルに関する注意

メール転送に関わる最近の
セキュリティ問題
2002/10/07
朝日大学
経営学部 情報管理学科
奥山 徹
[email protected]
http://okuyama.dsl.gr.jp/
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
1
今日のトピックス
電子メールの基礎
電子メールシステム
メールアドレスとメッセージ
DNSとの関係
ウィルスと電子メール
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
2
電子メールシステム
MUA(Mail User Agent)
MTA(Mail Transfer Agent)
DNS(Domain Name System)
DNS
SMTP
MUA
SMTP
MTA
MTA
mailbox
2002/10/07
MB
(c) Tohru Okuyama, 1999, 2001,
2002
MUA
POP/IMAP/...
3
MUA(Mail User
Agent)
ユーザアプリケーション
メールを読む
メールを書く
メールを保存/検索/削除する
UNIX
ucbmail, RMAIL, mush, mh, mew, …
Windows
OutLook, Netsape Mail, Eudora, PostPet,…
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
4
MTA(Mail Transfer
Agent)
メールの受信
配信先の決定
メールの配信
リモートへ、ローカルへ、発信者へ(エ
ラー)
Store and Forward
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
5
MTA Programs
 sendmail
http://www.sendmail.org/
 qmail
http://www.qmail.org/
 SMAIL(GNU)
 MMDF(Multi-channel Memo Distribution, CSNET)
 exim
http://www.exim.org/
 Vmail
http://wzv.win.tue.nl/vmail/
 LSMTP
http://www.lsoft.com/LSMTP.html
 PP(X.400)
 Postfix
http://www.postfix.org/
(c) Tohru Okuyama, 1999, 2001,
2002/10/07
2002
6
インターネットでのメール
の送受信
SMTP - Simple Mail Transfer Protocol
RFC821(S)
TCPのポート25番
ほとんどのMTAはSMTPの実装を持つ
DNSとの連係機能を持つ
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
7
SMTPの様子









ladoga% telnet vanessa.dsl.ics.tut.ac.jp 25(SMTPへの接続)
Trying 133.15.144.8...
Connected to vanessa.dsl.ics.tut.ac.jp.
Escape character is '^]'.
220 vanessa.dsl.ics.tut.ac.jp ESMTP Sendmail 8.9.3/3.7W; Tue, 14
Sep 1999 15:02:04 +0900 (サーバからのコネクションメッセージ)
HELO ladoga.dsl.ics.tut.ac.jp (サーバへのメッセージ)
250 vanessa.dsl.ics.tut.ac.jp Hello
IDENT:[email protected] [133.15.144.7],
pleased to meet you
MAIL FROM:[email protected] (発信者のアドレス)
250 [email protected]... Sender ok
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
8
SMTPの様子(2)










RCPT TO:[email protected] (受信者のアドレス)
250 [email protected]... Recipient ok
DATA
354 Enter mail, end with "." on a line by itself
This is a test mail. (メール本文)
. (データの終わりを示す)
250 PAA01454 Message accepted for delivery
QUIT
221 vanessa.dsl.ics.tut.ac.jp closing connection
Connection closed by foreign host.
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
9
メールアドレス
発信者/受信者情報として利用
ユーザ名@ドメイン名
[email protected]
その他の形式
%-Hack
Route Address
UUCP Addressing
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
10
%-Hack
RFC1123(S)
user%domain@relay
sender→relay→domain
relayに届いた時点でuser@domainに書き換え
user%domain%relay2@relay1
sender→relay1→relay2→domain
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
11
Route Address
RFC822(S)
@relay:user@domain
sender→relay→domain
relayに届いた時点でuser@domainに書き換え
@relay1,@relay2:user@domain
sender→relay1→relay2→domain
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
12
UUCP Addressing
domain!user
relay!domain!user
host!user@domainの解釈
“host ! user”@domain (Internet
like)
host ! “user@domain”
(UUCP like)
(c) Tohru Okuyama, 1999, 2001,
2002/10/07
2002
13
コメント形式アドレス
Full Name <user@domain>
user@domain(Full Name)
user(User Name)@domain(Univ.
Name)
( )のコメントはどこに入ってもよい
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
14
メッセージの形式
メールヘッダ(header)と本文(body)
RFC822(S):Standard for the format of arpa internet text
messages
最初の空白行が区切り
From:[email protected]
To: [email protected]
Subject: Question for ed.jp domains
← 空行(空白もなし)
ed.jpドメインの取得に関する問い合わせ
発信者(Sender, 通常一人, 意味上の発信者)と受
信者(Recipient,
一人または複数人)
(c) Tohru Okuyama, 1999, 2001,
2002/10/07
2002
15
ヘッダとエンベロープ
封書に似ている
エンベロープ(envelope)
投函した人/届け先
封書の表書きの送り主/宛先:実際に事務作業を行った人
配送の際に書き換えられていく
RFC821(S):SMTP→エンベロープはコマンドで指
定
UUCP→エンベロープはrmailのコマンドラインにて
(c) Tohru Okuyama, 1999, 2001,
指定
2002/10/07
2002
16
ヘッダとエンベロープ(2)
ヘッダ(header)
本文を書いた人/読んで欲しい人
内封された書面の送り主/受信者
基本的に書き換えられない
ヘッダとエンベロープの送信者/受信者
同じ場合: 個人宛て
異なる場合:
メーリングリストなど
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
17
ヘッダとエンベロープ(3)
エンベロープはいつ作られるか
ヘッダから抽出される
送信するMUAが行う
最初に処理を行うMTAが行う
エンベロープは配信処理で書き換えられる
転送
メーリングリスト
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
18
返信に利用するアドレス
配信エラー通知の返送(自動)
エンベロープの発信者
Errors-To: ヘッダ(エンベロープの概念がないシステム
用)
内容の返信(人が介在)
ヘッダの発信者
2002/10/07
From:, Reply-To, (To:, Cc:)
(c) Tohru Okuyama, 1999, 2001,
2002
19
メールボックスからMUAへ
ローカルメールボックス:UNIXなど
POP(Post Office Protocol)
IMAP(Internet Message Access Protocol)
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
20
メールを送ってもらうための
設定とDNS
 インターネット
SMTPによる直接配信→DNSに配信先を定義
 メール配信時に参照されるDNSレコード
A RR→ホスト名からIPアドレスを取得
MX RR→メールアドレスから配信先ホスト名を取得
CNAME RR→ホストの別名を取得
 Genericなメールアドレス
ホスト名部分を持たない
MX RRを利用する→メールはMXで指定されたホストに送られる
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
21
MXを使って障害に備える
メール受信の代行
foo.tut.ac.jp preference=10,
mx=mail1.tut.ac.jp
preference=50,
mx=mail2.tut.ac.jp
数字が小さいほど優先度が高い(コスト値)
送り側は配信に成功するまで順にコストの大きなものへ
配信を試みる
mail2はmail1が回復後にmail1に配送
mail2のメールの保存期間に注意
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
22
送信されたメールの受理
届いたメールを自分宛てとして認識
ローカルに配信(受理)
「送られてきた=自分宛て」ではない
自分宛てではないと判断した場合
転送先をさがす
受理するアドレスの設定
sendmail(CF): ACCEPT_ADDRSに定義
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
23
受信設定のまとめ
相手に送り先を教える
MXレコードを定義
自分宛てだと解釈する
ローカルへの配信(受理)
個別に設定が必要
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
24
メールは配信の設定
配信方法のバリエーション
DNSのMX参照による配信→MXを参照するMTAの準
備
ホスト名のみによる配送
固定ルールによる配信→DNSを参照する必要性の検討
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
25
DNSのMXを参照する場合
MXを参照するMTA
sendmail.mx : librisolv.aをリンク
OS付属のものより、最新のソースからコンパイルしたほ
うが良い→sendmail-8.9.3
MX参照用sendmail.cf(CF)
MX_SENDMAIL=yes→アドレスの補完
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
26
固定ルールによる配信
sendmail.cfに固定ルールを書く
CF : STATIC_ROUTE_FILE
ファイアウォールの中などで固定ルールを参照して
配信したい場合は、これを設定する
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
27
配信の動作確認
アドレスの解釈が正しいか
sendmail -bv あるいは sendmail -bt の
/parse
MXが正常に検索できているか
sendmail -bt で /mx コマンド
実際に送ることができるか
sendmail -v
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
28
メールサーバの設定
メールサーバのアプリケーションプログラムである、
sendmail は通常パッケージからインストールされ
るので、それを使えば良い
最新版は8.12.6である。もし、最新版でなければ、
ftp://ftp.sendmail.org/pub/sendmail/
から入手できる
他のアプリケーション(qmail, postfix, etc.)が利
用したければそれをインストールする必要がある
最近では、sendmailよりpostfixを使う傾向にあ
る
(c) Tohru Okuyama, 1999, 2001,
2002/10/07
2002
29
メールサーバの設定(2)
必要に応じて、POPやIMAPなどのMDAの
サーバプログラムをインストールする
設定が終わったら、一通りテストしてみる
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
30
ウイルス今昔物語
 昔のウイルス
 FDなどの外部媒体を経由する場合が多く、自己伝染性にはそれほど
高くなかった
 時には破壊的なウイルスが蔓延することがあったが、多くは自己顕示
的なものであった
 今のウイルス
 電子メールやWEBなど、利用可能な伝染媒体を駆使するワームタイ
プ(自己伝染性の強いもの)が主流となっている
 ファイルを実行すくことで伝染するものにとどまらず、スクリプトタイプ
のように、各種アプリケーションの問題点を突くような、複合型ウイル
スとなっている(Nimdaなど)
 破壊活動やDDoS攻撃など悪質なものが多くなってきている
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
31
ウイルス被害の届け出件数
(2002)
2002年のウィルス届出件数
2500
2000
13359件
件数
1500
届出件数
1000
500
0
2002/10/07
2002年1月
2002年2月
2002年3月
2002年4月
2002年5月
2002年6月
月日 Okuyama, 1999, 2001,
(c) Tohru
2002
2002年7月
32
ウイルス被害の届け出件数
(1990~2002)
25000
20000
15000
届け出数
10000
5000
0
1990 1992 1994 1996 1998 2000 2002
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
1990は4月~12月
2002は1月~ 7月
33
2002年7月の状況
IPAの2002年7月の被害届け出状況による
(http://www.ipa.go.jp/security/txt/2002_08.html)
 被害届け出件数:1,781件(先月よりは少し減る)
 感染実害率:9.7%(先月の6.4%より悪化)
 届出ウイルスの種類:41種類
 新種ウイルス:W32/Frethem亜種(日本語環境で
も発症)
 Windows/DOS系:1,686、マクロウイルス及びスク
リプト系:93、Mac系及びUNIX系:2
 一番届出の多かったウイルスW32/Klez
 感染経路:メールにより感染したケースが最も多い
(届出件数の82.0%の割合を占める)
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
34
感染を防ぐには
1)最新のウイルス定義ファイルに更新し、ワクチンソフ トを活
用すること
2)メールの添付ファイルは、開く前にウイルス検査を行 うこと
3)ダウンロードしたファイルは、使用する前にウイルス 検査を
行うこと
4)アプリケーションのセキュリティ機能を活用すること
5)セキュリティパッチをあてること
6)ウイルス感染の兆候を見逃さないこと
7)ウイルス感染被害からの復旧のためデータのバック アップ
を行うこと
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
35
メールの添付ファイルに関する
注意
1) 見知らぬ相手先から届いた添付ファイル付きの
メールは厳重注意する
2) 添付ファイルの見た目に惑わされない
3) 知り合いから届いたどことなく変な添付ファイル付
きのメールは疑ってかかる
4) メールの本文でまかなえるようなものをテキスト形
式等のファイルで添付しない
5) 各メーラー特有の添付ファイルの取り扱いに注意
する
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
36
メールの添付ファイルに関する
注意(2)
1) 見知らぬ相手先から届いた添付ファイル付
きのメールは厳重注意する
見知らぬ相手先から送信されたメールの添付ファ
イルについては、安全を確認することが難しく、また、
ほとんどのケースが自分に必要ないものであるの
で、無条件に削除することが望ましい。
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
37
メールの添付ファイルに関する
注意(3)
2) 添付ファイルの見た目に惑わされない
テキストファイル(拡張子「.txt」)や画像ファイル(拡張子
「.jpg」)などの、ウイルスに感染することのないファイルに見
せかけた添付ファイルを送りつけるウイルスが発見されてお
り、注意が必要である。
添付ファイルは、見た目に惑わされず、プロパティで拡張
子を表示するなどによりファイル形式を確認し、ファイルを実
行するアプリケーションを把握するとともに、自分に必要なも
のかどうかを判断したうえで使用するべきである。
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
38
メールの添付ファイルに関する
注意(4)
3) 知り合いから届いたどことなく変な添付ファイル付きのメー
ルは疑ってかかる
メールを送信するタイプのウイルスが激増しており、知り合いから送信
された添付ファイル付きのメールは、送信者の知らない間にウイルスが
送信している可能性が ある。巧妙に添付ファイルを開かせるような心理
をついてくるので、このような知り合いからのメールこそウイルスの疑い
を持って接する必要がある。
メールに付帯の情報(メール本文等)もウイルスが作成 している可能
性があるため、これらの情報も信用せず、 例えば先方に問い合わせる
などにより安全を確認して から使用するべきである。
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
39
メールの添付ファイルに関する
注意(5)
4) メールの本文でまかなえるようなものをテキス 形式等の
ファイルで添付しない
受信者にウイルス検査の作業負担を生じさせることに なり、また、検
査を行ったとしても不安感を完全にぬぐいさることはできないので、添付
ファイル付きのメール送信は避ける。
必要にせまられ添付ファイル付きでメールを送信する場合には、当該
ファイルのウイルス検査を行ってから実 施するようにし、あわせてメー
ルに付帯の情報(メール 本文等)以外で、添付ファイルを付けた旨とそ
の内容を事前に先方に伝えるような配慮が望ましい。
一方、このようにして届けられたものでも、受信者はウイルス検査後使
用するという用心深さが必要である。
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
40
メールの添付ファイルに関する
注意(6)
5) 各メーラー特有の添付ファイルの取り扱いに注意
する
メーラーの設定、メーラーの特殊性などの添付ファイルの
取り扱いに関連する事項をよく把握して使用することが重要
である。
例えば、一部のメーラーでは、受信時に添付ファイルをあ
らかじめ指定されたフォルダに自動的に展開しファイル保存
する。このようなメーラーを使用している場合は、ウイルス検
出などでメール本文ごと添付ファイルを削除した時に、保存
されている複製も忘れずに削除されるような設定にする必
要がある。
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
41
ファイルのダウンロードに関す
る注意
安易にプログラムをダウンロードして実行してしまう
と、 次のようなトラブルを招くことがある
コンピュータウイルスに感染する
ダイヤルQ2接続や国際電話をかけられ、後日法 外な請
求書が届く
ハードディスク内のデータが破壊される
外部の第三者にコンピュータを操られる
ハードディスク上のファイルが盗まれる(読まれ る)
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
42
感染したら届出を
IPAに届ける
http://www.ipa.go.jp/security/
JPCERTに届ける
http://www.jpcert.or.jp/
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
43
検証:Nimdaに見る新世代ウイ
ルスの類型
Nimda
全方向ウイルス:これまでのウイルスが持ってい
た感染拡大機能を併せ持つ
サーバ、メール両方を介しての自動侵入機能
IISのサーバのバグをつく
IEのブラウザのばつをつく
当然Outlookを使ったメールを介しても媒介する
特定ブラウザを通じての感染機能
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
44
検証:Nimdaに見る新世代ウイ
ルスの類型(具体的な内容)
このウイルスは、セキュリティホールを悪用したウイ
ルスで、Windows95/98/ME/NT/ 2000で動作する。
マイクロソフト社の Internet Information Server (IIS) のセキュリ
ティホールのあるシス テムに侵入するとホームページを改ざんする
セキュリティホールのあるInternetExplorerで改ざんされたホーム
ページを見るとウイル スに感染する
クライアントが感染すると、Outlookのアドレス帳に登録されているア
ドレス等にウイルス を添付したメールを送信する
添付ファイル名はreadme.exeである
そのウイルス付メールを受け取ると、Outlookではメールを開いただ
け で、OutlookExpressではプレビューしただけでも感染することが
ある
2002/10/07
(c) Tohru Okuyama, 1999, 2001,
2002
45
まとめ
メールは現在の必須情報交換網(イン
ターネットと携帯電話を合わせると、普及
率は実に7割以上と推定される)
それだけに問題点も多い
ウィルス伝播
SPAMメール
いやがらせメール
正しく使いましょう
(c) Tohru Okuyama, 1999, 2001,
2002/10/07
2002
46