web-dev-qa-db-ja.com

特定のコンピュータを使用して特定のメールが送信されたことを証明することはできますか?

SMSは、その発信元である携帯電話にたどり着くことができ、電話の所有者は法廷で他の誰かが彼の電話を使用したと主張するしかありませんが、 PCからのメール?

ほとんどの電子メールは、ブラウザとWebインターフェースを使用して送信されていますが、NATの外部にあるPCをほとんど見つけることができないという事実は言うまでもありません。さらに、ほとんどのラップトップはWiFiで接続されています。

メールを送信していないと主張するのは非常に簡単[〜#〜] x [〜#〜]およびメールアドレス[〜#〜] y [〜#〜] =私のものではありません。 IPアドレス?それは何の意味もありません。多くの人と共有しています。ラップトップからメールを送信したのは妻だったのかもしれませんし、私のWi-Fiをハッキングしたのは隣人かもしれません。

専門家は裁判官の前で法廷でそのような主張をどのようにして破ることができますか?

emailforensics
6
Ulkoma

エキスパートはエキスパートです。専門家が言うことは法廷に立っている:

  • 彼は専門家です。
  • 他方の当事者は、最初の専門家が間違っていると言い、より説得力のある専門的な方法でそれを言う別の専門家を提供することはできません。

実際には、contextが他のどの説明よりもはるかに説得力がある場合、電子メールは特定のPCから送信されたと評されます。コンテキスト要素には、SMTPサーバー側から登録されたIPアドレス、クライアント側のIPアドレス(WiFiかWiFiではない、アクセス可能なワイヤー...)を想定する容易さ(またはその欠如)、PC上のログファイルの有無が含まれます。 ..そして、たいていの場合、意図された送信者が行為を認めるかどうか。

偽証は重大な犯罪であるため、裁判官に嘘をつく行為に巻き込まれた結果よりも「問題が深刻でない」場合、人々はメールの送信を拒否しない傾向があります。重要な点は、電子メールが実際に特定の個人によって送信されたかどうかを証明することは、両方の面で複雑な問題であるということです:説得力のある方法で正確に特定することは困難です。加害者ですが、それが決定的に証明されることは決してないことを確認することも同様に困難です。

これは手書きの署名のセキュリティモデルを再現します。実際、他人の署名を真似することはそれほど難しくありません。また、署名が適切かどうかを実際に確認することも非常に困難です。しかし、手書きの署名はペンと人間の手で物理的な世界で発生するため、痕跡を残す傾向があります。これは私がコンテキスト要素と呼んでいるものです。自分の署名を否認することはできますが、誰にも見られなかったか、ペンに指紋を残していなかったか、100万件ある可能性のある不愉快な詳細のいずれかを残していなかったため、危険です。そして、あなた自身の署名を否認しようとすることは厳しく罰せられます。したがって、多くの場合、署名を自分のものとして認識し、その結果を想定することをお勧めします。

メールの場合、同じメカニズムが機能しています。実際の証拠は、多くの場合、薄っぺらな要素(ログエントリなど)ですが、送信した電子メールの送信を拒否することは危険であり、特にコンピュータが関係しているため(コンピュータはほとんどの人の「魔法の地平線」を超えているため)、危険だと感じています。 。したがって、電子メールが関係するほとんどのケースでは、いくつかのログファイルエントリが作成され(実際、非常に多くの方法で偽造される可能性があります)、送信者は裁判官の絶え間ない視線の下で崩れ落ちます。

14
Thomas Pornin

基本的に、送信者を発見するほとんどすべての方法はかなり信頼できません。

通常、PCから「直接」メールを送信することはありません。通常、インターネットプロバイダーまたはメールサービスプロバイダーが所有するSMTPサーバーを使用します。このSMTPサーバーがメールを処理します。たとえば、最終宛先のSMTPサーバーが利用できない場合は、宛先が再び稼働するまで配信が遅延するため、メール配信を確実にするためだけに常にPCをオンラインにしておく必要はありません。電子メールは通常、宛先に到達する前にいくつかのSMTPを通過します。

まず、知っておくべきことは、必須の電子メールヘッダーがほとんどないことです。 「From」ヘッダーもオプションです。署名を任意の形式(IPなど)で電子メールに挿入するのはSMTPの善意であり、他のヘッダーを電子メールに保持するのはSMTPの善意だけです。

送信者をどの程度確実に見つけることができますか?それは、電子メールのSMTPと、それらをどのように信頼できるかに依存します。そして、ほとんどの場合はできません。

監視された電子メールがサーバーを通過したかどうかをSMTP管理者に尋ねることができますが、確かに彼らはあなたに伝えません。メールのヘッダーを確認することはできますが、誰もが変更した可能性があるため、完全に信頼することはできません。

DKIM署名により、ある程度の確実性が得られる可能性があります(メールが署名されている場合)。たとえば、メールがgmail.comから送信された場合、DKIM署名であることを確認できます。それが有効であった場合、それは本当にGmail SMTPサーバーから送信されたものであり、Googleはメールを送信しないと思うので(これについてグーグルを信頼しなければならない)からの偽造で、あなたは送信者またはそれ以上を手に入れた、あなたはgmailアカウントにアクセスできる人を手に入れた:-)。

10
smrt28

技術的な観点から、元のSMTPサーバーがそのようなポリシーを実施し、すべての中間サーバーがパススルーメッセージの発信元を認証する場合、特定のメールアカウントから電子メールが送信されたことを証明できます。 g。 DKIM(サーバー自体が改ざんされていないと想定)。

法的な観点からは、審査中の電子メールが偽装されていることを裁判官または陪審員に説得する必要があります。多くの法制度は、刑事裁判での有罪判決に対して「妥当な量の疑い」を超える確実性を要求します。民事訴訟では、通常、法的規制ははるかに低くなります。これはInfoSecであり、法的なフォーラムではないため、ここでは説明しません。

5
David Foerster

短い答えは「いいえ」であり、法廷に立つものは何もありません。考えられるすべての追跡技術は、賢い弁護士と技術に詳しい人によって法廷で打ち負かされる可能性があります。

ただし、問題を考えるもう1つの方法は、電子メールの送信元に関する追跡情報に証拠を追加することです。たとえば、IPアドレスを追跡して、それを容疑者にリンクできる場合などです。

次に、法医学的な文体分析や著者分析などの追加の証明を使用します。一部の国では、スタイル分析を証拠として受け入れています(英国や米国など) 法廷でのスタイル分析の詳細については、このソースを参照してください

5
Ubaidah

すでに述べたように、誰がメールを送信したかを証明するのは難しいですが、近所の人があなたのwifiをハッキングしたことを証明するのはどうですか?私はあなたがどこにいるのかわかりませんが、通常、基本的なルーターでさえ、接続されたデバイスを追跡でき、MACアドレスをリストすることもあります。妻のMACと比較できるMAC。より高度なルーターを使用していて、ログまたはより詳細な情報がある場合は、ログを電子メールが送信された時刻と照合することができる場合があります。これにより、より信頼性の高い追跡が可能になります。または、このレベルのトラッキングがない場合は、設定できます。

2
Paraplastic2

概要:特定のコンピューターがメールを送信したことを証明することは不可能です。すべての参加者が誠実に行動している場合、それは推定できますが、これには高いレベルの参加が必要です。

詳細:電子メールの発信元を確実に特定することは自動的に可能ではありませんが、以下の仮定に基づいて、以下の情報をつなぎ合わせることにより、それを推測することは可能かもしれません。

  • 送信者が信頼できるCA(または既知で保証されているPGP鍵)によって署名されたSMIMEを使用して電子メールに署名した場合、送信者の非公開を証明できるまでは、送信者の否認防止を想定できます。そのキーはメール送信前の妥協でした
  • メールの発信元のドメインがSPFとDKIMを提供している場合は、承認されたメールゲートウェイのいずれかを介してメールがリレーされたかどうかを判断できます(SPFでは、送信メールに許可されたIP番号のリストを公開できます。DKIMを使用すると、キーの半分を公開して、受信者が受信した電子メールのメモの暗号署名を検証し、他の半分のキーでしか署名できなかったと確信できるようにする)
  • SPFとDKIMに基づいて、組織、会社、または代理店にメモをリレーした送信メールゲートウェイを明確に特定できます
  • この時点で、メールゲートウェイのオペレーターからログを召喚するオプションがあります。これには、元の(または少なくとも以前のホップリレー)IP番号が含まれている可能性があります
    • これは、2つの理由で信頼できない可能性があることに注意してください。
      • 送信者が、コーヒーショップやライブラリなどの共有ネットワークまたはパブリックネットワークから問題のメモを送信した可能性があります。
      • 中継する組織が送信者と共謀していると思われる理由がある場合は、メールログが改ざんされていないかどうかを確認して証明する必要がある場合があります(組織のポリシーにより、発見前に削除されていない場合)。
    • これらのログの召喚状を取得する負担も理解してください。すべての裁判官が前もって大きな努力なしに1つを発行するわけではありません
  • Previous-hop-relayが別の組織のメールゲートウェイである場合、プロセスを繰り返す
  • 送信側デバイスのIPが識別されたとしても、それは一時的なデバイスである可能性が高いため、送信側デバイスが存在するネットワークを運用している組織からDHCPログを召喚して、一致させることができます。送信デバイスが要求したときにアナウンスされたホスト名とIP

全員が誠実に行動している場合、送信者と送信デバイスを特定できる場合があります。

幸運を祈ります。

2
DTK

メールの送信元のメールアカウントのサービスプロバイダーに問い合わせる必要があります。それらのほとんどは、おそらくWebサーバーに接続しているクライアントのIPアドレスをログに記録する必要があり、一部は ブラウザフィンガープリント を実行して、接続がユーザーの既知のデバイスに対応していることを確認します。したがって、少なくともIPブラウザーのペアを明確に識別する情報を提供できる可能性があります。

ただし、議論に潜在的なやる気があり有能な敵が含まれている場合は、仮定を立てることはできません。誰かがcouldIPを偽装し、特定のブラウザのフィンガープリントを見つけて再利用します。

2
Steve Dodier-Lazaro