> >

受信したメール

一通目 (本物)

Received

from pe17503.lrdns.com (localhost [127.0.0.1])
by pe17503.lrdns.com (8.12.11.20060308/8.12.11) with ESMTP id m0G0N7H2021900
for <yuji_okamura@mac.com>; Tue, 15 Jan 2008 19:23:07 -0500

Received

(from halo@localhost)
by pe17503.lrdns.com (8.12.11.20060308/8.12.11/Submit)
id m0G0N765021898; Tue, 15 Jan 2008 19:23:07 -0500

Date

Tue, 15 Jan 2008 19:23:06 -0500

From

support@haloscan.com

Subject

HaloScan

To

yuji_okamura@mac.com

Message-id

<200801160023.m0G0N765021898@pe17503.lrdns.com>

X-Mailer

MIME::Lite 3.021 (F2.71; B2.12; Q2.03)

Content-type

text/html

<br/>
Dear Yujiokamura <br/>

<br/>
We are reaching out to you, as an important HaloScan partner, <br/>
to ask you how we can improve our service and to share our latest news. <br/>

<br/>
If you are open to a phone call please let us know a day/time that <br/>
works for you.  Or, if you would rather, please email us your thoughts. <br/>
<br/>
Thank you for using HaloScan! <br/>
<br/>
<strong>Latest News:</strong> <br/>
<br/>
Free! product assistance:  support@haloscan.com <br/>
New! 5 Star Ratings service:  Turn-on through a check box in your HaloScan
Dashboard <br/>
New! Data Center Upgrades:  Increased the performance and reliability of our
service <br/>
<br/>
<_a href="http://www.haloscan.com"><img
src="http://www.haloscan.com/haloheader.gif" width="500"></a>

このメールは本物だと考えています。

二通目 (偽物かも)

Received

from ccm09.constantcontact.com
(ccm09.constantcontact.com [63.251.135.115])
by mac.com (Xserve/smtpin050/MantshX 4.0) with ESMTP id m0GNtJPU001415 for
<yuji_okamura@mac.com>; Wed, 16 Jan 2008 15:55:19 -0800 (PST)

Received

from p1-ws008 (unknown [10.250.0.102]) by ccm09.constantcontact.com
(Postfix) with ESMTP id 08F0E66331D for <yuji_okamura@mac.com>; Wed,
16 Jan 2008 18:55:19 -0500 (EST)

Date

Wed, 16 Jan 2008 18:55:19 -0500 (EST)

From

Haloscan <support@haloscan.com>

Subject

HaloScan

To

yuji_okamura@mac.com

Reply-to

support@haloscan.com

Message-id

<1101945554665.1101944424984.303.8.3185502@scheduler>

X-Mailer

Roving Constant Contact 0 (http://www.constantcontact.com)

Content-type

multipart/alternative; boundary="Boundary_(ID_TFKMFpmE6Jp6v+4JwX25ew)"

--Boundary_(ID_TFKMFpmE6Jp6v+4JwX25ew)
Content-type: text/plain; charset=iso-8859-1
Content-transfer-encoding: 7BIT

Dear yujiokamura,


This email was sent to yuji_okamura@mac.com,
by support@haloscan.com

Update Profile/Email Address
http://visitor.constantcontact.com/d.jsp?p=oo&v=########

Instant removal with SafeUnsubscribe(TM)
http://visitor.constantcontact.com/d.jsp?p=un&v=########

Privacy Policy:
http://ui.constantcontact.com/roving/CCPrivacyPolicy.jsp








haloscan | 176 Crockett | Hillsborough | CA | 94010









--Boundary_(ID_TFKMFpmE6Jp6v+4JwX25ew)
Content-type: text/html; charset=iso-8859-1
Content-transfer-encoding: 7BIT



<head ><meta /></head><body ><!--Copyright (c) 1996-2008 Constant Contact. All rights reserved.  Except as permitted under a separate
written agreement with Constant Contact, neither the Constant Contact software, nor any content that appears on any Constant Contact site,
including but not limited to, web pages, newsletters, or templates may be reproduced, republished, repurposed, or distributed without the
prior written permission of Constant Contact.  For inquiries regarding reproduction or distribution of any Constant Contact material, please
contact legal@constantcontact.com.--><img alt=" " height="1" src="http://rs6.net/on.jsp?t=1101945554665.0.1101944424984.303&ts=S0316&o=http://ui.constantcontact.com/images/p1x1.gif" width="1"/>
<OpenTracking/>
<!--  Do NOT delete previous line if you want to get statistics on the number of opened emails -->



    Dear yujiokamura,
<br/>
<br/>
We are reaching out to you, as an important HaloScan partner, <br/>
to ask you how we can improve our service and to share our latest news. <br/>
<br/>
If you are open to a phone call please let us know a day/time that <br/>
works for you.  Or, if you would rather, please email us your thoughts. <br/>

<br/>
Thank you for using HaloScan! <br/>
<br/>
<strong>Latest News:</strong> <br/>
<br/>
Free! product assistance:  support@haloscan.com <br/>
New! 5 Star Ratings service:  Turn-on through a check box in your HaloScan
Dashboard <br/>
New! Data Center Upgrades:  Increased the performance and reliability of our
service <br/>
<br/>
<_a href="http://rs6.net/tn.jsp?e=########" shape="rect"><img
src="http://www.haloscan.com/haloheader.gif" width="500"></a>

<br />
<table bgcolor="#ffffff" padding="0" width="100%" ><tr align="center" ><td colspan="1" rowspan="1" ><table bgcolor="#ffffff" width="595" ><tr ><td colspan="1" rowspan="1" ><font face="verdana,arial" size="1" ><FooterContent ><_a href="http://visitor.constantcontact.com/d.jsp?p=un&v=########" shape="rect" target="_blank"><img border="0" src="http://img.constantcontact.com/letters/images/safe_unsubscribe_logo.gif"/></a>

<div >This email was sent to yuji_okamura@mac.com, by <_a href="mailto:support@haloscan.com" shape="rect" style="color:#0000ff;">support@haloscan.com</a></div>
<div ><_a href="http://visitor.constantcontact.com/d.jsp?p=oo&v=########" shape="rect" style="color:#0000ff;" target="_blank">Update Profile/Email Address</a> | Instant removal with <_a href="http://visitor.constantcontact.com/d.jsp?p=un&v=########" shape="rect" style="color:#0000ff;" target="_blank">SafeUnsubscribe</a>&trade; | <_a href="http://ui.constantcontact.com/roving/CCPrivacyPolicy.jsp" shape="rect" style="color:#0000ff;" target="_blank">Privacy Policy</a>.</div></FooterContent></font>

</td>
<td colspan="1" rowspan="1" ><font face="verdana,arial" size="1" ><FooterLogo /></font>
</td>
</tr>
<tr ><td colspan="2" rowspan="1" ><font face="verdana,arial" size="1" ><br />haloscan | 176 Crockett | Hillsborough | CA | 94010</font>
</td>
</tr>
</table>
</td>
</tr>

</table>
<br />
</body>

--Boundary_(ID_TFKMFpmE6Jp6v+4JwX25ew)--

一部伏せています。

このメールが疑わしいと考えています。

メールの評価

一通目

文面に関しては疑わしくありません。リンク先も HaloScan ですし、使用されている画像も HaloScan のサーバにあるものです。

一見問題なのはヘッダの方です。.Mac のサーバに接続してメールを渡してきたのは pe17503.lrdns.com というホストです。このホスト名は haloscan.com のドメインを持っていません。調べるとこれは LiveRack という US のホスティングサービスが提供しているホストのようです。

しかしそれでも HaloScan が出したと思われます。というのは HaloScan の whois 情報には haloscan.com の DNS サーバとして LiveRack の DNS サーバが使用されているからです。pe17503.lrdns.com の IP アドレスは 72.9.234.73 で、www.haloscan.com の IP アドレスは 72.9.234.77 または 72.9.234.71 です。HaloScan が web サーバに使用している IP アドレス群を包含しているネットワークに含まれる IP アドレスを持っています。しかも haloscan.com の SPF 情報を調べると、haloscan.com のドメインを持つ発信者のメールが出される正真のメールサーバは 72.9.234.0/24 というネットワークに含まれるものとわかります。そして pe17503.lrdns.com はそのネットワークに含まれています。

したがってこのメールは本物だと考えています。

二通目

二通目は偽物の可能性があると考えています。

まず文面からして不審です。HTML とテキストの二つを持ったものですが、そのテキストの内容はアカウントの情報を更新するためのリンク、メール購読解除のリンク、個人情報保護方針のリンクです。そしてそのリンク先が HaloScan ではありません。visitor.constantcontact.com というホストの URL です。HTML の内容は、HTML で表示した人をトラッキングするためのタグ、一通目と同じ内容、テキストとほぼ同様の内容が入っています。

ヘッダを見るとメールの送信元は ccm09.constantcontact.com というホストで、アカウントの情報を更新するためのリンクのホストと同じドメインです。

アカウント情報の更新は HaloScan の web サーバでできます。visitor.constantcontact.com を使用する理由がありません。メール購読解除と言っても、HaloScan のアカウントにはメールを購読するとかしないとかの設定がありません。ですからこれはもっぱら constantcontact.com からの(HaloScan 名義の)メールの購読の設定です。個人情報保護方針も HaloScan の web サーバで見ることができるので visitor.constantcontact.com を使用する理由がありません。

メール送信元かつリンク先は Constant Contact というメールマーケティングのサービスのものです。HaloScan がこのサービスを利用したという証拠は見つけていません。メールからそうであるとする根拠は一切伺えませんし、HaloScan の web サーバでそういうお知らせも掲載されていません。しかも上述した SPF 情報では haloscan.com のドメインを持つ差出人のメールは 72.9.234.0/24 というネットワークから出された場合は正真だと宣言しています。他からも出されるかもしれないとはしていますが、ccm09.constantcontact.com からは出されるとは書いてありません。

つまり、HaloScan を騙ったフィッシングメールと区別がつきません。

考えられるシナリオ

考えられるシナリオの一つはこうです。

HaloScan 自身のサーバを使って HaloScan が抱えている約 50 万のアカウント全てにメールを出そうとしたけれどサーバの負荷が高くなるだけでなく時間もかかりバルク送信元とされそうなので中断して自身のサーバを使うのは諦め、そして Constant Contact を利用して同じお知らせを再送信したというものです。

仮に HaloScan が Constant Contact を利用したのなら、発信者が正当であることを示すために電子署名を使ったり、HaloScan の web サーバでそういうメールを出したことをアナウンスすればよいのにと思うのですが…。

考えられるシナリオのもう一つはこうです。

HaloScan がアクティブなアカウントに対してお知らせメールを出した。そしてスパマーなど悪意がある者が、そのお知らせを騙って HaloScan を利用しているブログのメールアドレスに対してフィッシングもしくはそれに類似したメールを送信したというものです。

でも腑に落ちないことがあります。私は HaloScan アカウントを複数持っていてどれもドネーションをしてあります。その複数のカウントには複数のメールアドレスが使用されています。一通目も二通目もその中の一つであるブログなどで公開しているメールアドレスにしか届いていません。つまり、両方のメールは全ての HaloScan ユーザに送られたわけではないということです。私の複数のアカウントのうちお知らせを受けたメールアドレスでないものは、ログインは定期的にしていてもコメントもトラックバックも数年受けていません。ですから少なくとも一通目はそういう意味でアクティブなアカウントに対して送信したのかもしれません。

もう一つ腑に落ちないのは、今まで HaloScan からこの手のお知らせを受けたことがないのに今回はお知らせしてきたことです。