厚生労働省のメアドから、メアド以外の連絡先が一切不明の脅迫文と取れる文章が届きます。

http://whois.nic.ad.jp/cgi-bin/whois_gw

に６行目のを入れたら

Network Information: [ネットワーク情報]

a. [IPネットワークアドレス] 211.123.198.192/27

b. [ネットワーク名] MHLW-NETWORK

f. [組織名] 厚生労働省

g. [Organization] Ministry of Health,Labour and Welfare

m. [管理者連絡窓口] KS13528JP

n. [技術連絡担当者] KS13528JP

p. [ネームサーバ]

[割当年月日] 2005/04/07

[返却年月日]

[最終更新] 2005/04/07 10:35:08(JST)

とでました。これはたぶん、場所としては本物じゃないでしょうか。（人が本物かはまだわかりません。アルバイトでも職員のコンピューターをいじれるようにしてあって・・とか。でも考えにくいですけど。）人も本物ですと大組織ですからなかなか難しいようですよ。

あとは相手の言うことや手続きがちゃんとしていない点があるようなら、上司にあたる人を探して電話かけて聞いてみるか、ものすごいお金がかかりますが行政不服裁判を起こすのでしょうか・・・

ざっと見た感じ、本物のように見えます。

そちらのレンタルサーバに接続してきている 211.123.198.197 というホストは

extmx1.mhlw.go.jp というれっきとした厚労省の外向けメールサーバのようです。

試しに接続してみましたが、不正中継を許可しない設定にもちゃんとなっていました。

下の方に見える 10.97.*.* は省内LANのプライベートアドレスだと思われます。

IYSIDO@mhlw.go.jpは

医薬食品局 監視指導・麻薬対策課の公式アドレスです。

http://www.mhlw.go.jp/wp/no-action/3.html

麻薬対策課となっていますが、健康食品の監視指導もやっていますので、健康食品販売関連などでの連絡もこのアドレスから来るようです。

思い当たる節がなければ、アドレスの間違いだと思いますので、早めに連絡をした方が良いと思います。

最近の連絡であれば、以下のサイトに載っている商品を取り扱われているため、「取扱をやめてください。」という連絡ではないでしょうか。

健康食品から未承認医薬品の取扱になったものですので、健康食品として販売を続けると取り調べられたりするので、早めに取扱をやめるとの連絡をしたほうが良いでしょう。

http://www.mhlw.go.jp/kinkyu/diet/other/050623-1.html

健康食品関連の情報収集に関しては、ある程度の知識がありますので、わからない点がありましたら、ご協力できることもあるかもしれません。

http://www.senderbase.org/search?searchBy=domain&searchStrin...

SenderBaseで調べてみると、昨日突然大量のメールを出しているみたいです。

従来比1141%！

ヘッダは、

Received: from unknown (HELO mail02.shop-pro.jp) (127.0.0.1)

by 0 with SMTP; 12 Mar 2007 11:17:20 +0900

Received: from 211.123.198.197 (211.123.198.197)

by mail02.shop-pro.jp (CMSP-Fsecure);

この辺りが、私的には？？？です。

CMSP-Fsecureを使っている場合、こういう表示になりますか？

Received: from 211.123.198.197 (211.123.198.197)

by mail02.shop-pro.jp (CMSP-Fsecure);

は、211.123.198.197からmail02.shop-pro.jpへの接続。

Received: from unknown (HELO mail02.shop-pro.jp) (127.0.0.1)

by 0 with SMTP; 12 Mar 2007 11:17:20 +0900

これは？

(HELO mail02.shop-pro.jp)と言っているのであれば、メールサーバへの接続のようにも見えますが・・・。

他の正常なメールでもこういうヘッダになっているのであれば良いですけど、違うとすると、怪しいと思います。

　待つ必要はありません。厚生労働省のメールサーバを踏み台にしたとか、なりすましメールの手口は使い古された言葉だと考えています。

　内容は知りませんが、厚生労働省に連絡してサイバー警察に届けを出すよう促して下さい。

quia . jp さんの判断基準が明示されていないので、なぜスパムとみなしたかは不明です。（逆引きが時々上手くいかないので、それかなぁ。。。）

Received: from unknown (HELO mail02.shop-pro.jp) (127.0.0.1)

by 0 with SMTP; 12 Mar 2007 11:17:20 +0900

に問題がないとすると、ヘッダを見る限りでは普通に

L7X4MILA99S1.moom.mhlw.go.jp ([10.97.61.58])からメールが送られてきているように見えます。

FROM: ***** ヘッダが見えていないのですが、Return-Path: <IYSIDO@mhlw.go.jp>と同じですか？

メールクライアントも全く記載が無いので、ちょっと怪しげです。

Microsoft IISサーバを中継に使っているっぽいのでMS***かな？？

X-Mailer:とかのヘッダを中継サーバで削除しているのかもしれませんね。

内部から送られてきているのであれば、端末（L7X4MILA99S1.moom.mhlw.go.jp）がヴィルスに感染している可能性もあります。

いずれにしろ、IYSIDO@mhlw.go.jp 宛送られてきたメールのヘッダ全てを含めて添付し問合せの真否を確認した方が良いかと思います。

こんなところもありますので、ご参考まで。

http://www.internethotline.jp/index.html

中途半端ですみません。

迷惑メール(spam)対策用メールヘッダ解析 hdpar （GeekTools対応版）

http://antispam.stakasaki.net/tools/hdpar-fr.html

この解析ツールでご指摘のヘッダーを分析すると、次のような結果が出ます。

以下が各IPアドレスからの苦情先解析です。コメントはあくまで参考であり、必ず正しいとは限りません。

《略》

IPアドレス「127.0.0.1」のipseek簡易解析結果

　このIPアドレスは受け手側のサーバから0つ前のサーバが残した記録です。

　　受信サーバによれば標準時刻 Day12-2:17:20 に残したことになっています。

これは特殊な場合に使われるアドレス（LOOPBACK address）です（参考）。

http://www.tarokawa.net/junkmail/ipadr/index.html

このIPは無視すべきものです。

→このIPのGeekTools結果(詳細版)は恐らく無意味です。 (代用1:Geek予備、代用2:ipseek結果、代用3:JPNIC結果)

[分かる人向け→このIPのブラックリストへの登録状況/Proxscan]

---

IPアドレス「211.123.198.197」のipseek簡易解析結果

　このIPアドレスは受け手側のサーバから1つ前のサーバが残した記録です。

　　標準時刻 に残したことになっていますが時刻は当てになりません。

PTR extmx1.mhlw.go.jp ---> www.mhlw.go.jp http://www.mhlw.go.jp/

SOA postmaster@mhlw.go.jp 中策 ---> www.mhlw.go.jp http://www.mhlw.go.jp/上策の苦情先は見つかりませんでした。

　→GeekTools結果http://nospam.stakasaki.net/cgi-bin/proxy.cgi?query=211.123.198....(詳細版http://nospam.stakasaki.net/cgi-bin/proxy.cgi?query=211.123.198....)から管理人を捜しましょう。 (代用1:Geek予備、代用2:ipseek結果、代用3:JPNIC結果)

　　[分かる人向け→このIPのブラックリストへの登録状況 http://www.senderbase.org/search?rawWhois=1&searchBy=ipaddre... /Proxscan http://mathom.jp/cgi-bin/stak/proxscan.pl?param=211.123.198.197 ]

ここの部分は受信側なので登録する

---

IPアドレス「10.97.2.54」のipseek簡易解析結果

　このIPアドレスは受け手側のサーバから2つ前のサーバが残した記録です。

　　標準時刻 に残したことになっていますが時刻は当てになりません。

これは特殊な場合に使われるアドレス（LOCAL address）です（参考）。

このIPは無視すべきものです。

　→このIPのGeekTools結果(詳細版)は恐らく無意味です。 (代用1:Geek予備、代用2:ipseek結果、代用3:JPNIC結果)

　　[分かる人向け→このIPのブラックリストへの登録状況/Proxscan]

---

IPアドレス「10.97.61.58」のipseek簡易解析結果

　このIPアドレスは受け手側のサーバから3つ前のサーバが残した記録です。

　　標準時刻 に残したことになっていますが時刻は当てになりません。

これは特殊な場合に使われるアドレス（LOCAL address）です（参考）。

このIPは無視すべきものです。

　→このIPのGeekTools結果(詳細版)は恐らく無意味です。 (代用1:Geek予備、代用2:ipseek結果、代用3:JPNIC結果)

　　[分かる人向け→このIPのブラックリストへの登録状況/Proxscan]

というわけで、「中策アドレス有り」との解析がでています。

以上の分析を総合的に評価すると、結論としてはスパムやイタズラではなく、高い確率でwww.mhlw.go.jpサーバ管理下の端末から職員により送信された真正のメールであると思われます。

厚労省など霞ヶ関WANと接続している中央官庁からのメールのヘッダーは、LOCAL addressの情報をヘッダーにつけて送信するケースが多く(例外あり)、このメールもそういう中央官庁に特徴的なヘッダー構造を踏襲しています。ヘッダーのローカルアドレスが中央官庁で使用しているプライベートアドレスに酷似している点から考えても、厚労省の端末から送信された真正のメールである蓋然性は高いです。少なくとも霞ヶ関WANのLANの内部構造を熟知していなければここまで本物のヘッダーに似せてニセのヘッダーを作ることは困難です。

5番の方の回答ですが、官庁の通知メールは、多くの場合、複数の通知先に同時に送信するのが通例であって一通ずつ順番に送信するということはあまりありませんので、「突然大量に」だからこそ官庁メールらしいと言えます。もちろんこれは善意の解釈で、悪意の解釈ができないわけではありません。

quia.jpにスパムメールとして報告されている理由は、断言はできませんが、ひとつの可能性として考えられることは、違法な取引をしている悪い業者の公開メールアドレスが実はニセモノのアドレスで、そのニセモノのアドレスを受信先に指定して厚労省が通知メールを送信し、悪い業者とは無関係なメールの受信者がスパムだと勘違いしてスパム通報したのかもしれません。こうしたことは官庁では時々あることで、ブラックリスト公開サービスではこうした通報はスパム評価ポリシーにより無視されるケースが多いようです。

100％確実に厚労省の職員が送信したメールかと言われると、偽装メールである可能性はゼロではありません。あくまでも蓋然性が高いということです。

偽装メールであると仮定して考えられる可能性のひとつは、厚労省の端末のあるビルの端末、または管理しているＮＴＴコミュニケーションズの基幹サーバがある部屋にこっそり忍び込んで端末を操作して送信するというようなケースが考えられます。しかし、日本時間で平日の午前11時17分に厚労省の職員にバレずにこっそり部屋に忍び込んでメールを送信することは難しいと思います。WANのサーバ管理室に侵入することはさらに難しいでしょう。

それ以外の可能性としては、厚労省職員が送信したけれど単純にアドレスを打ち間違えた可能性です。官庁発信のメールの数は膨大な量になりますので、ごく稀にですがそういうことが発生する可能性がありますが、あなたの受信アドレスがありふれたアドレスではないなら可能性は低いでしょう。

「脅迫」であるかどうかは、メール本文の内容を読んでいませんのでなんとも言えませんが、常識的に考えて医薬食品局監視指導・麻薬対策課の職員が脅迫メールを送信することは無いと思います。霞ヶ関のすべてのメールは送信内容が必ず別部門のサーバを経由してそこでコピーが作成され別部門で管理され証拠が残るからです。そのメールは「脅迫」ではなく、単なる「通知」なのではありませんか？　

ほんとうに「脅迫」だとしたら、メールが送信時にコピーされていることを知らないマヌケな職員がメールを送信したか、局長以上の人をまきこんで組織的に脅迫しているかのどちらかですが、どちらの可能性も低いでしょう。