tito Memo

* IPアドレスから連絡先を調べる

技術メモ - 関係サイトとの情報交換[jpcert]
直接連絡する場合はwhoisでプロバイダか企業、学校などの組織を調べ

lV. 連絡先の決定
(1) サイトへ直接連絡する場合
  サイトへ直接連絡する場合に使用できる連絡先としては、おおむね以下の連
絡先が考えられます。
    (a) インターネットレジストリに登録されている連絡先
    (b) ホストまたはドメインを管理するポストマスタ (postmaster@〜)
    (c) RFC 2142 で紹介されているメールアドレス (ABUSE, NOC, SECURITY 等)
    (d) ホストの管理用アカウント (root@〜, Administrator@〜 等)
    (e) DNS の SOA レコードに登録されたメールアドレス

にあるメールアドレスに連絡する。メールが使えない、信用でき ない状況にあるときは電話。その組織のwebの情報が 参考になることもあるが他の手段によって確認の取れない情報は信用しない方がよい。 電話番号ならばその電話番号自身を 検索するなどして他のサイトでも確かめたりNTTの番号案内で確認。

直接連絡が好ましくない 、出来ない状況ではインシデントを仲介 してくれる(らしい)CERT、CSIRTに頼る。 JPCERT Coordination Center

2004-05-07追記 certの文章はどちらかというとネットワーク管理者向けでした。ユーザーとしては自分が契約している プロバイダのサポートに相談してみるというのが一番いいかも。 プロバイダー　報告　ウィルス　テンプレートで見つけたKlez対策webなどが参考になりそう。

* おまけ

IPアドレス検索／サイバーエリアリサーチ株式会社

* spamerに詐称される

上の文章を書いていたときは気づいていなかったがちょうどいいタイミング(?)で 会社のメールアドレスを使ってspammingしているやつがいた。5日の18時からの30時間ほどで 450通ほどのエラーメールを受信している。

$ ls |wc
    445     445    1672
$ echo `egrep -L "voila(\.|%2E)fr" *`　# このパターンを含まないファイルを表示
419 434　　　　　　　　　　　　　　　　# 2つ以外はこのパターンを含む。

本文はランダムな英単語で、あるドメインへのリンクがある点で共通している。 これは同一人物か同一組織の仕業だと思われる。ただしエラーメールに含まれるオリジナルメールのヘッダ を見ても発信元がばらばら。主にヨーロッパ方面で発信されているが いつくか.bbtec.netや.ne.jpのアドレスが見受けられる。どういう仕掛けで発信しているのだろう。

* 私が受信しているのはbounce mailなので元のメールに関して信頼できる情報が得られるわけではない。

どこに文句をいっていいのか調べるのは手間だ。

参考:
連載：電子メールに潜むリスクの図1が今回の状況。
既知のspam手法と対策のヒント

追記
これで議論されているメールに関連?
JPCERT/CC: インシデント対応 - インシデント報告の届出