Author: | Stephen J. Turnbull |
---|---|
Organization: | Faculty of Engineering, Information, and Systems at the University of Tsukuba |
Contact: | Stephen J. Turnbull <turnbull@sk.tsukuba.ac.jp> |
Date: | 2016/12/07 |
Copyright: | 2016, Stephen J. Turnbull |
topic: | infotech |
全ての可能性を含むインターネットメールは大変複雑なシステムです。しかし、基本操作は簡単です。以下、電話を例えとした説明をします。
電話の概念の対象:
ビジネスなどの電話に出る代表は決まった言葉で答えます。ビジネスごとにバリエーションがあるが、インターネットの場合にはその形が絶対に決まったものです。使うのが人間ではなくて機械なので違和感はありません。
まず、著者が手紙を決まった形式で書きます。
To: A Recipient <recip@mail.example.com> From: Customer Service <service@toshigin.jp> Subject: High interest bonds Dear Recipient: We've noticed that you have 100,000,000 yen in your savings account, earning 0.0025% interest. This month we have access to investment in one-month government bonds with a nominal annual interest of 12%. That means in one month you earn 1% interest! The bonds are in units of 10,000,000 yen, and because of expected high demand, this offer is limited to 5 units per account. If you would like to subscribe to this extraordinary opportunity, click on the link below: <a href="https://site.from.hell/suck-all-your-money">Yes!</a> Don't wait! These bonds are in limited supply, and will go fast. This special opportunity is offered to you in thanks for your past patronage of our bank. Sincerely yours, Custom E. R. Representative
題名と挨拶の間の空の行には空白もない。この文書をファイルに保存します。
次、相手のメールホストに連絡する。
まず、IPアドレスにつないでポートを指定します(電話なら、代表番号をダイル、オペレーターに内線を依頼します)。つなぐと下記のような会話を行います。相手の挨拶から行きます。
相手: 220 mail.example.com SMTP 自分: HELO yuubin.example.jp 相手: 250 OK 自分: MAIL FROM sagishi@yuubin.example.jp 相手: 250 OK 自分: RCPT TO recip@mail.example.com 相手: 250 OK 自分: DATA ここにファイルを1行ずつコピーする . 相手: 250 OK 自分: QUIT 相手: 250 OK
そして相手が切ります。(上の「.」は終止符だけで、形式のために必要です。)
キーポイント:メールサーバーは DATA の部分をコピーだけし、そのデータの内容を完全に無視します。サーバーから見ると著者は sagishi@yuubin.example.jp ですが、宛先の人間にとっては Customer Service <service@toshigin.jp> です。これは service@toshigin.jp のスプーフィングと言います。つまり、 recip@mail.example.com に任意の To と From を含む任意の内容を送ることが「簡単に」というよりも「普通に」できます。
また、上記の手紙の内容はフィッシュメール( phishing )と言います。
こういうメールを防ぐ方法は2種類あります。一方、内容を分析して不正行為を認識した場合そのメールをユーザーに見せなく、スパムフォルダーに入れたりします。一方、 DMARC を利用して From ≠ MAIL FROM を認識したところでメールを拒絶します。
実際の詐欺はよりずるくて対応がもっと複雑なのですが、これが基本概念です。基本詐欺だけでも過去の被害が100億円レベルに上がりました。
注意: 筑波大学ではスプーフィングなどは不正行為であり、冗談でしても除籍されることがあります。