厚生労働省のメアドから、メアド以外の連絡先が一切不明の脅迫文と取れる文章が届きます。

このメールの真偽を確かめてから対応を検討したいと思いヘッダを見ています。
こんなヘッダですが、どなたか、真偽のほどわかりませんか?

※.mhlw.go.jp (厚生労働省)
※.shop@suzuran-sun.jp (当方のメアド)
※.mail02.shop-pro.jp (レンタルサーバのメールサーバ)
--

Return-Path: <IYSIDO@mhlw.go.jp>
Delivered-To: suzuran-sun.jp-shop@suzuran-sun.jp
Received: (qmail 27443 invoked from network); 12 Mar 2007 11:17:20 +0900
Received: from unknown (HELO mail02.shop-pro.jp) (127.0.0.1)
by 0 with SMTP; 12 Mar 2007 11:17:20 +0900
Received: from 211.123.198.197 (211.123.198.197)
by mail02.shop-pro.jp (CMSP-Fsecure);
Mon, 12 Mar 2007 11:17:19 +0900 (JST)
X-Virus-Status: clean(CMSP-Fsecure)
Received: from [10.97.2.54] ([10.97.2.54])
by extmx1.mhlw.go.jp ([10.103.5.52])
with ESMTP id 2007031211:17:19:637833.200802.11823
for <shop@suzuran-sun.jp>;
Mon, 12 Mar 2007 11:17:19 +0900 (JST)
Received: from l7h2cnct09s1.moom.mhlw.go.jp by intmx2.mhlw.go.jp id l2C2HJG2699326; Mon, 12 Mar 2007 11:17:19 +0900
Received: from L7X4MILA99S1.moom.mhlw.go.jp ([10.97.61.58]) by l7h2cnct09s1.moom.mhlw.go.jp with Microsoft SMTPSVC(6.0.3790.211);
Mon, 12 Mar 2007 11:17:19 +0900
--

回答の条件
  • 1人5回まで
  • 登録:2007/03/12 21:21:04
  • 終了:2007/03/18 23:46:05

回答(8件)

id:NAPORIN No.1

なぽりん回答回数4723ベストアンサー獲得回数8742007/03/12 21:58:52

ポイント17pt

http://whois.nic.ad.jp/cgi-bin/whois_gw

に6行目のを入れたら

Network Information: [ネットワーク情報]

a. [IPネットワークアドレス] 211.123.198.192/27

b. [ネットワーク名] MHLW-NETWORK

f. [組織名] 厚生労働省

g. [Organization] Ministry of Health,Labour and Welfare

m. [管理者連絡窓口] KS13528JP

n. [技術連絡担当者] KS13528JP

p. [ネームサーバ]

[割当年月日] 2005/04/07

[返却年月日]

[最終更新] 2005/04/07 10:35:08(JST)

とでました。これはたぶん、場所としては本物じゃないでしょうか。(人が本物かはまだわかりません。アルバイトでも職員のコンピューターをいじれるようにしてあって・・とか。でも考えにくいですけど。)人も本物ですと大組織ですからなかなか難しいようですよ。

あとは相手の言うことや手続きがちゃんとしていない点があるようなら、上司にあたる人を探して電話かけて聞いてみるか、ものすごいお金がかかりますが行政不服裁判を起こすのでしょうか・・・

id:himawari-san

回答感謝します。6行目。

そうですね、登録されているのは、そうですね。

私も調べてみて、調べ方によっては厚生労働省のものだと思ったのですけど、メールの本文が、なんだか不審なんですね。

厚生労働省にちょくせつ連絡してみるのが本筋かもしれません。メールヘッダについて、もう少し情報を収集してみてから対応してみようと思っています。

2007/03/12 23:21:58
id:thrillseeker No.2

thrillseeker回答回数328ベストアンサー獲得回数372007/03/12 22:01:17

ポイント17pt

ざっと見た感じ、本物のように見えます。


そちらのレンタルサーバに接続してきている 211.123.198.197 というホストは

extmx1.mhlw.go.jp というれっきとした厚労省の外向けメールサーバのようです。

試しに接続してみましたが、不正中継を許可しない設定にもちゃんとなっていました。

下の方に見える 10.97.*.* は省内LANのプライベートアドレスだと思われます。

id:himawari-san

回答ありがとうございます。

そうですか。

ヘッダがホンモノであるとすれば、メール本文の内容について、厚生労働省とやりとりをしないといけないかもしれません。

とても参考になります。

2007/03/12 23:24:28
id:kappagold No.3

kappagold回答回数2710ベストアンサー獲得回数2482007/03/12 23:44:41

ポイント16pt

IYSIDO@mhlw.go.jpは

医薬食品局 監視指導・麻薬対策課の公式アドレスです。

http://www.mhlw.go.jp/wp/no-action/3.html

麻薬対策課となっていますが、健康食品の監視指導もやっていますので、健康食品販売関連などでの連絡もこのアドレスから来るようです。

思い当たる節がなければ、アドレスの間違いだと思いますので、早めに連絡をした方が良いと思います。

id:himawari-san

回答感謝します。

麻薬対策課ですか。

一応健康食品を取り扱ってはいますので気になります。

場合によっては連絡したほうが早いかもしれないですね。

もうすこし、ヘッダについての情報を収集してから行動を決めたいと思います。

2007/03/13 00:19:09
id:kappagold No.4

kappagold回答回数2710ベストアンサー獲得回数2482007/03/13 10:08:13

ポイント16pt

最近の連絡であれば、以下のサイトに載っている商品を取り扱われているため、「取扱をやめてください。」という連絡ではないでしょうか。

健康食品から未承認医薬品の取扱になったものですので、健康食品として販売を続けると取り調べられたりするので、早めに取扱をやめるとの連絡をしたほうが良いでしょう。

http://www.mhlw.go.jp/kinkyu/diet/other/050623-1.html


健康食品関連の情報収集に関しては、ある程度の知識がありますので、わからない点がありましたら、ご協力できることもあるかもしれません。

id:himawari-san

最近新たに指定された健康食品ですね。

この中には当方で取り扱っている商品はないようです。

中国からの輸入ものであるということで、今後指定される可能性がありますけれど、いまのところはリストの中には見あたりません。

2007/03/13 14:08:25
id:shopnet No.5

shopnet回答回数13ベストアンサー獲得回数12007/03/13 10:49:43

ポイント16pt

http://www.senderbase.org/search?searchBy=domain&searchStrin...

SenderBaseで調べてみると、昨日突然大量のメールを出しているみたいです。

従来比1141%!

ヘッダは、

Received: from unknown (HELO mail02.shop-pro.jp) (127.0.0.1)

by 0 with SMTP; 12 Mar 2007 11:17:20 +0900

Received: from 211.123.198.197 (211.123.198.197)

by mail02.shop-pro.jp (CMSP-Fsecure);

この辺りが、私的には???です。

CMSP-Fsecureを使っている場合、こういう表示になりますか?

Received: from 211.123.198.197 (211.123.198.197)

by mail02.shop-pro.jp (CMSP-Fsecure);

は、211.123.198.197からmail02.shop-pro.jpへの接続。

Received: from unknown (HELO mail02.shop-pro.jp) (127.0.0.1)

by 0 with SMTP; 12 Mar 2007 11:17:20 +0900

これは?

(HELO mail02.shop-pro.jp)と言っているのであれば、メールサーバへの接続のようにも見えますが・・・。

他の正常なメールでもこういうヘッダになっているのであれば良いですけど、違うとすると、怪しいと思います。

id:himawari-san

ご回答感謝致します。

HELO mail02.shop-pro.jp

は、通常のメールでもこうなります。


ところで、お詳しい方であると思うので、見て頂きたいのですが、

extmx1.mhlw.go.jp [211.123.198.197]

からのメールを迷惑メールとして指定している方がいるようです。

http://www.quia.jp/spam/2006/08/Grey20060827_ja.html

この、厚生労働省名義のメールサーバって、いったいなんなんでしょうか?

2007/03/13 14:06:46
id:Baku7770 No.6

Baku7770回答回数2832ベストアンサー獲得回数1812007/03/13 11:41:02

ポイント16pt

 待つ必要はありません。厚生労働省のメールサーバを踏み台にしたとか、なりすましメールの手口は使い古された言葉だと考えています。

 内容は知りませんが、厚生労働省に連絡してサイバー警察に届けを出すよう促して下さい。

id:shopnet No.7

shopnet回答回数13ベストアンサー獲得回数12007/03/13 15:36:01

ポイント16pt

quia . jp さんの判断基準が明示されていないので、なぜスパムとみなしたかは不明です。(逆引きが時々上手くいかないので、それかなぁ。。。)

Received: from unknown (HELO mail02.shop-pro.jp) (127.0.0.1)

by 0 with SMTP; 12 Mar 2007 11:17:20 +0900

に問題がないとすると、ヘッダを見る限りでは普通に

L7X4MILA99S1.moom.mhlw.go.jp ([10.97.61.58])からメールが送られてきているように見えます。

FROM: ***** ヘッダが見えていないのですが、Return-Path: <IYSIDO@mhlw.go.jp>と同じですか?

メールクライアントも全く記載が無いので、ちょっと怪しげです。

Microsoft IISサーバを中継に使っているっぽいのでMS***かな??

X-Mailer:とかのヘッダを中継サーバで削除しているのかもしれませんね。

内部から送られてきているのであれば、端末(L7X4MILA99S1.moom.mhlw.go.jp)がヴィルスに感染している可能性もあります。

いずれにしろ、IYSIDO@mhlw.go.jp 宛送られてきたメールのヘッダ全てを含めて添付し問合せの真否を確認した方が良いかと思います。


こんなところもありますので、ご参考まで。

http://www.internethotline.jp/index.html

中途半端ですみません。

id:himawari-san

いやー、何度もコメントすいませんでした。

そろそろなんらかの形で問い合わせを行おうと思います。

色々と参考になりました。

感謝。

2007/03/14 09:34:39
id:kitano No.8

kitano回答回数1ベストアンサー獲得回数02007/03/17 01:17:55

ポイント16pt

迷惑メール(spam)対策用メールヘッダ解析 hdpar (GeekTools対応版)

http://antispam.stakasaki.net/tools/hdpar-fr.html

 

この解析ツールでご指摘のヘッダーを分析すると、次のような結果が出ます。

 

以下が各IPアドレスからの苦情先解析です。コメントはあくまで参考であり、必ず正しいとは限りません。

《略》

IPアドレス「127.0.0.1」のipseek簡易解析結果

 このIPアドレスは受け手側のサーバから0つ前のサーバが残した記録です。

  受信サーバによれば標準時刻 Day12-2:17:20 に残したことになっています。

これは特殊な場合に使われるアドレス(LOOPBACK address)です(参考)。

http://www.tarokawa.net/junkmail/ipadr/index.html

このIPは無視すべきものです。

→このIPのGeekTools結果(詳細版)は恐らく無意味です。 (代用1:Geek予備、代用2:ipseek結果、代用3:JPNIC結果)

[分かる人向け→このIPのブラックリストへの登録状況/Proxscan]


IPアドレス「211.123.198.197」のipseek簡易解析結果

 このIPアドレスは受け手側のサーバから1つ前のサーバが残した記録です。

  標準時刻 に残したことになっていますが時刻は当てになりません。

PTR extmx1.mhlw.go.jp ---> www.mhlw.go.jp http://www.mhlw.go.jp/

SOA postmaster@mhlw.go.jp 中策 ---> www.mhlw.go.jp http://www.mhlw.go.jp/上策の苦情先は見つかりませんでした。

 →GeekTools結果http://nospam.stakasaki.net/cgi-bin/proxy.cgi?query=211.123.198....(詳細版http://nospam.stakasaki.net/cgi-bin/proxy.cgi?query=211.123.198....)から管理人を捜しましょう。 (代用1:Geek予備、代用2:ipseek結果、代用3:JPNIC結果)

  [分かる人向け→このIPのブラックリストへの登録状況 http://www.senderbase.org/search?rawWhois=1&searchBy=ipaddre... /Proxscan http://mathom.jp/cgi-bin/stak/proxscan.pl?param=211.123.198.197 ]

ここの部分は受信側なので登録する


IPアドレス「10.97.2.54」のipseek簡易解析結果

 このIPアドレスは受け手側のサーバから2つ前のサーバが残した記録です。

  標準時刻 に残したことになっていますが時刻は当てになりません。

これは特殊な場合に使われるアドレス(LOCAL address)です(参考)。

このIPは無視すべきものです。

 →このIPのGeekTools結果(詳細版)は恐らく無意味です。 (代用1:Geek予備、代用2:ipseek結果、代用3:JPNIC結果)

  [分かる人向け→このIPのブラックリストへの登録状況/Proxscan]


IPアドレス「10.97.61.58」のipseek簡易解析結果

 このIPアドレスは受け手側のサーバから3つ前のサーバが残した記録です。

  標準時刻 に残したことになっていますが時刻は当てになりません。

これは特殊な場合に使われるアドレス(LOCAL address)です(参考)。

このIPは無視すべきものです。

 →このIPのGeekTools結果(詳細版)は恐らく無意味です。 (代用1:Geek予備、代用2:ipseek結果、代用3:JPNIC結果)

  [分かる人向け→このIPのブラックリストへの登録状況/Proxscan]

 

というわけで、「中策アドレス有り」との解析がでています。

以上の分析を総合的に評価すると、結論としてはスパムやイタズラではなく、高い確率でwww.mhlw.go.jpサーバ管理下の端末から職員により送信された真正のメールであると思われます。

 

厚労省など霞ヶ関WANと接続している中央官庁からのメールのヘッダーは、LOCAL addressの情報をヘッダーにつけて送信するケースが多く(例外あり)、このメールもそういう中央官庁に特徴的なヘッダー構造を踏襲しています。ヘッダーのローカルアドレスが中央官庁で使用しているプライベートアドレスに酷似している点から考えても、厚労省の端末から送信された真正のメールである蓋然性は高いです。少なくとも霞ヶ関WANのLANの内部構造を熟知していなければここまで本物のヘッダーに似せてニセのヘッダーを作ることは困難です。

5番の方の回答ですが、官庁の通知メールは、多くの場合、複数の通知先に同時に送信するのが通例であって一通ずつ順番に送信するということはあまりありませんので、「突然大量に」だからこそ官庁メールらしいと言えます。もちろんこれは善意の解釈で、悪意の解釈ができないわけではありません。

quia.jpにスパムメールとして報告されている理由は、断言はできませんが、ひとつの可能性として考えられることは、違法な取引をしている悪い業者の公開メールアドレスが実はニセモノのアドレスで、そのニセモノのアドレスを受信先に指定して厚労省が通知メールを送信し、悪い業者とは無関係なメールの受信者がスパムだと勘違いしてスパム通報したのかもしれません。こうしたことは官庁では時々あることで、ブラックリスト公開サービスではこうした通報はスパム評価ポリシーにより無視されるケースが多いようです。

100%確実に厚労省の職員が送信したメールかと言われると、偽装メールである可能性はゼロではありません。あくまでも蓋然性が高いということです。

偽装メールであると仮定して考えられる可能性のひとつは、厚労省の端末のあるビルの端末、または管理しているNTTコミュニケーションズの基幹サーバがある部屋にこっそり忍び込んで端末を操作して送信するというようなケースが考えられます。しかし、日本時間で平日の午前11時17分に厚労省の職員にバレずにこっそり部屋に忍び込んでメールを送信することは難しいと思います。WANのサーバ管理室に侵入することはさらに難しいでしょう。

それ以外の可能性としては、厚労省職員が送信したけれど単純にアドレスを打ち間違えた可能性です。官庁発信のメールの数は膨大な量になりますので、ごく稀にですがそういうことが発生する可能性がありますが、あなたの受信アドレスがありふれたアドレスではないなら可能性は低いでしょう。

「脅迫」であるかどうかは、メール本文の内容を読んでいませんのでなんとも言えませんが、常識的に考えて医薬食品局監視指導・麻薬対策課の職員が脅迫メールを送信することは無いと思います。霞ヶ関のすべてのメールは送信内容が必ず別部門のサーバを経由してそこでコピーが作成され別部門で管理され証拠が残るからです。そのメールは「脅迫」ではなく、単なる「通知」なのではありませんか? 

ほんとうに「脅迫」だとしたら、メールが送信時にコピーされていることを知らないマヌケな職員がメールを送信したか、局長以上の人をまきこんで組織的に脅迫しているかのどちらかですが、どちらの可能性も低いでしょう。

id:himawari-san

ホンモノであると考えたほうが自然です。

稚拙な文体に脅迫と取れる、どうしょうもない文章ですけど、これが厚生労働省の実情なんでしょうね。

だめなITです。弁護士を雇います。

日本の官庁って、はぁ、レベルが低い。

幻滅してしまいます。

こんなことで官庁と争わないといけないって、あんまりです。

2007/03/18 23:45:36
  • id:heroheropon
    heroheropon 2007/03/19 10:43:33
    あくまで「可能性」ですが、厚生労働省の職員の使用するパソコンがウイルスに感染していて、ウイルスがそのパソコン(のメールソフト)のメールアカウントを利用してランダムにメールを送っている可能性もあります。

    http://www.trendmicro.co.jp/vinfo/virusencyclo/
    で検索すると「メール自動送信」するタイプのウイルスが30種類ほど見つかります。

    ただ、この種のウイルスが送信するメールの文章は限られていますから、内容があなたのショップの内容に関連しているような具体性を持つ(思い当たる内容がある)ようなら、ウイルスの可能性は低いでしょう。

    いずれにしても厚生労働省にきちんと確認されたほうがよいでしょう。

この質問への反応(ブックマークコメント)

トラックバック

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません