メールが危うし20201009

2020年10月9日

このページの内容

最近「Returnedメール」等身に覚えの無いメールが増加してきて、一寸気になってきました。

「ログインアラート」や「ログイン履歴閲覧」サービスを受けながら、ウイルスチェックを行いPWも変更して、スパムメール対策ができた体験談です。

サムネール写真
図. 迷惑メールフォルダーへ自動振り分けされたファイル一覧の例。

画像はクリックするとLightboxで拡大表示します。

1:経過

 メインに使用している「@niftyメール」に対し、6月頃からスパムメールが沢山来る様になった。丁度「不審なメール20200619」過去記事を公開した後の続編になります。

殆どが「英文」で添付ファイル付きもあり・「派手な絵文字付き」・「Returned」や[SPAM]付きタイトルのメールだった。更に9月になると、致命的状態となり「送信時」にエラーがでて発信できなくなってしまいました。

プロバイダーの@niftyへ相談し、

  1. 使用中のMcAfeeで、「フルスキャーン」によるウイルスチェックを実施した。
  2. 不正ログイン履歴一覧(閲覧サービス)やログインアラート(メールで送信されるサービス)へ設定変更し、素早く異常をキャッチでき体制(共に無料)に変えた。
  3. PWを変更した。
  4. メーラーである「Thunderbird」の設定も変更した。

対策の結果、9月から10月にかけReturned、[SPAM]付きメール(4~5件/日、多い日は10件位あったもの)は全て無くなった。

2:詳細説明

★少し長文になってしまいすみません(^_^;;; 。

今年6~9月にかけメインで使用している「@niftyメール」に対し、大量の(4~5件/日)英文スパムメールが毎日(多い時は10件位)来るようになった。件名なしメールもありYahooサーバーが使われていた。[SPAM]表記はサーバーが自動で行っているものと思われます。(下記図1参照)。

これらはメーラーのThunderbirdで、「迷惑メールフォルダー」へ自動振り分け・自動削除設定していて通常開くことは無い。特に英文メールは開かない習慣にしていたことも有り、このフォルダー内は通常目にする機会が無い。特に影響はでないであろうと、軽視していたりでほぼ放置状態にしてきていた。

その後9月に入ってから急に「送信メール」のみがエラーを起こし、使用できなくなっていた(圧倒的に受信メールの方が多かったことも有り)、スパムメールが関連していた可能性も有り得るため、事の重大さを再認識せざるを得ない状況になった(下記図2参照)。

最近@nifty自体のHPは、大きな問題も無くMyページを開く事も無くご無沙汰したままであった為、久し振りに開いてにたら今回の様なケースには、先ずPWの変更が有効であるとの記述があり、他に新しくできたサービスに「ログインアラートメール」や「ログイン履歴の閲覧サービス」(共に無料)があることを知った。

やったこと

① ログインアラートとログイン履歴閲覧サービスの設定をした。
 これはMyページ等へログインがあった時、直ぐメール連絡が有るサービスであり、もし心当たりが全く無い時であればパスワードが不正に詐称されたことになります。

ログイン履歴は過去2年間(100件まで)の記録リストに、見覚えの無いログイン歴が有れば、早期の対応が可能になるというもの。

この中には不思議なログイン歴が幾つかあった(成功時と失敗時の記載もある)又、アクセス者のIPアドレスの記載や、自分でも見たことの無い「ポイントサービスページ」へのログイン(失敗していた)歴の記載もあった(下記図3参照)。

私のIPアドレスはV6環境だったが、疑わしいのはどれも古いV4のもので、一目で見分け出来たが、これからはV6が増加する為油断できない。

今回金銭的被害は無かったが、昨年あたりの異常アクセスと関係あったか分からないが、英文のスパムメールには派手な顔文字が使われたものが多く有ったが、一番多かったのは、全く心当たりの無いSubシステムからのReturnedメール・[SPAM]メールと無題(前記Yahooのサーバーから)のメールで、添付ファイルは有ったり無かったりと3種類の英文メールが多かった。

これらは私が送信したメールでなく、明らかに他人が不正入手した私のアカウントとパスワードを詐称し(踏み台に悪用して)て誰かへ送信しているのが想像できる。その中の送信できなかったメールだけが、私の使用サーバーへSubシステムから戻って来たものを受信したんではないかと疑っている。

犯人?は不正入手したアドレスやパスワード等が活きているかの試験(名簿業者?)したり、ウイルスを仕込んだメールを他人へ送り付ける等(今話題になっている踏み台にしてばら撒く?)に利用している可能性(※1)も有り得るため怖くなってきた。

【参考】(※1)
メールアカウント乗っ取りに注意!症状・原因・対策方法は?

② 使用中のMcAfeeによるウイルスチェックをした。
 今回は「フルスキャーン」した。クイックスキャーンと異なりCドライブ全部を行うため、約4時間かかり313GB 658,199ファイルをチェックした結果ウイルスファイルは検出されなかった(下図4,5参照)。

③ PWの変更をする。
 本人確認はスマホで受信したSMSのコードを使い行い、以前より倍も長いPWに変更した。
 …余談Googleが下記⑤で使用の自動PWには、大・小文字、英数字、記号付で 66桁 の長いものが使われている例があったのには驚いた!。

④ Googleサービスの自動入力用PWの更新を行う。
 Googleがセキュリティー上記憶している為、これを変更しておく必要がある。
 ここが変更されない旧のままではログインできない(下図8参照)。

⑤ メーラ―のThunderbirdメールでもPW等設定変更した。
 niftyのパスワードと連動して、メーラーのThunderbirdでもPW等設定変更する必要がある。しかし、直後にはspamメールが継続して有ったり、送信メールのみ未だエラーが出て開通出来なかった(下記図7参照)。

問題のメールは、送信時の大量メール(添付ファイル含め)により、サーバーのアクセス制限が作動(送信制限オーバー)したため、後に「送信」不能になったまま?だったんではないかと疑いがでてきた。

設定はPOPサーバーとSMTPサーバーに対し別々に行う必要もあり、当初は何回やり直しても「送信」だけできない状況は変わらず焦ってしまった(^_^;;; 。

@niftyでは「3日後から送信できる様になるはず」、と言っていたのでひたすら待つのみだった。
(通信量オーバー等で作動してしまったアクセス制限の解除に、「3日」も掛かったのは??)

とにかく結果は、メールが無事送信できる様に復旧できた(^^♪ 。同時に気にしていたReturnedメール、[SPAM]メールの受信は皆無になった。
 但し月に数件位あった日本語のスパムメールは依然ある。
これは今回のReturnedメールとは別物であり、アドレスを知られてしまった単なる「迷惑メール」であり、現在は「自動仕分け・自動削除」してしのぐよりしょうがないと思っている。

又、Thunderbirdでは@nifty以外に使用しているメールの中の「グーグルメール」には、スパムらしき英文メールが月数件ある。(これも自動振り分け・自動削除設定している。) それと別に「マイクロソフトメール」もあるが、ここに対しては過去5年間一度もスパムメールは無い状況です。

@niftyメールはここ数週間、送信異常や今回のspamメールについて注視してきたが、一旦収まった様に思っています。メモ。

3:関連図による説明

画像はクリックするとLightboxで拡大表示します。

サムネール写真
図1. 迷惑メールフォルダーへ自動振り分けされたファイル一覧の例。
サムネール写真
図2. メール送信時エラーになり使えなくなった。
サムネール写真
図3. @niftyのMyページ等へログインのあった履歴一覧.。
サムネール写真
図4. McAfeeによるウイルスのフルスキャーンによるチェック。
サムネール写真
図5. 問題のファイルは無し。約658,000個のファイル(313GB)約4時間かかった。
サムネール写真
図6. Thunderbirdメーラーのパスワードを、この画面から設定し直して再度トライ。
サムネール写真
図7. 当初メッセージの送信エラー(コード80004005)で使用できない状態が続いた。
サムネール写真
図8. 緑枠のパスワード欄はクリックした時のみ、下に赤枠が出てGoogleが記憶している内容が見れる例。


Λ