Error at MIME multipartNo.01512
anbu さん 17/06/14 11:02
 
初めて投稿させて頂きます。
鶴亀の頃から愛用させて頂いている者です。

昨日、メール受信中にフリーズしました。
初めての事でした。

強制終了し、普通に動いているように感じていましたが、その直ぐ後に以下のメール
が届きました。

関連があるのか無いのか判断が出来ずに困っています。
Fromが全く知らない所で、且つCCにも社内の別のアドレスが入っているので明らかに
怪しいと思うのですが、どうしたものかと。

どなたかご教示頂ければ幸いです。
宜しくお願いします。



***
Subject:  =?iso-2022-jp?B?NhskQjduSixAQTVhJUchPCU/GyhC?=
X-TuruKame-Error: Error at MIME multipart


### 秀丸メールからのお知らせ ###

このメールを解析して致命的なエラーが発生した形跡があります。
「検索・関連するメール・ログをOutlook Expressで開く」で見てください。
または、「編集・受信解析のやり直し」を試みると復旧できるかもしれません。




Turu-Kame detected internal error when decoding this mail.
[ ]
RE:01512 Error at MIME multipartNo.01514
秀まるお2 さん 17/06/14 11:31
 
 お手数かけてすみません。

 まず、受信中にフリーズしたのは、秀丸メールのバグのせいだと思います。何
か形式的におかしいメールを解析する処理がフリーズというか、プログラマー的
に言うと「無限ループ」が発生してしまったんだと思います。

 秀丸メールの古いバージョンで、何度かこの「無限ループ」のバグを出したこ
とがあるのですが、秀丸メールのバージョンは最新でしょうか。もし最新だとし
たら、最新版でも何かバグがあるんだと思います。古いバージョンをお使いでし
たら、とりあえず最新版に入れ替えて欲しいです。

 最新版はVersion 6.70になってます。

> 関連があるのか無いのか判断が出来ずに困っています。
> Fromが全く知らない所で、且つCCにも社内の別のアドレスが入っているので明らかに
> 怪しいと思うのですが、どうしたものかと。

 連絡いただいたSubject:ヘッダの中身は、デコードすると、

    6月分請求データ

 となるようで、これはまさに、最近大量発生してるウイルス入りメールです。
なので、怪しいメールということで削除していただいて問題ないと思います。

 このメールに限らず、怪しいかどうかの記述として、メールの発信元を確認す
るといいかもしれません。「編集 - メールのプロパティ...」を実行すると、そ
こに、


 色(L): [0 なし___]   [ 発信元=[nnn.nnn.nnn.nnn] JP 日本_________]


 のような所があって、その「発信元=」の所で発信元の国識別が分かると思い
ます。アメリカ以外の外国から発信されてるなら、怪しいメールに間違いないで
す。
[ ]
RE:01514 Error at MIME multipartNo.01515
anbu さん 17/06/14 12:12
 
ご連絡ありがとうございます。
当方Verは6.70 32bit でした。
エビデンスを添付しようと思ったのですが、画像添付機能などなさそうですね・・・

何かお伝えすべき情報がございましたらご指摘ください。
長く利用しているせいにしていますが、TuruKameDataフォルダが16.5Gを超えました。
想定を超えておりますでしょうか・・・。






> お手数かけてすみません。
>
> まず、受信中にフリーズしたのは、秀丸メールのバグのせいだと思います。何
>か形式的におかしいメールを解析する処理がフリーズというか、プログラマー的
>に言うと「無限ループ」が発生してしまったんだと思います。
>
> 秀丸メールの古いバージョンで、何度かこの「無限ループ」のバグを出したこ
>とがあるのですが、秀丸メールのバージョンは最新でしょうか。もし最新だとし
>たら、最新版でも何かバグがあるんだと思います。古いバージョンをお使いでし
>たら、とりあえず最新版に入れ替えて欲しいです。
>
> 最新版はVersion 6.70になってます。
>
[ ]
RE:01515 Error at MIME multipartNo.01516
秀まるお2 さん 17/06/14 15:12
 
> 当方Verは6.70 32bit でした。

 ということは、最新版にバグがある可能性が高いようです。

> エビデンスを添付しようと思ったのですが、画像添付機能などなさそうですね・・・

 たぶん、同じメールを受信しなおすとまた再現すると思うんですが、1つお願
いが・・・

 「設定 - 全般的な設定...」の「上級者向け - デバッグ」のページに、

   □ Hangup Checkerを常駐させる

 ってオプションがあるので、それをONにして欲しいです。そうすると、
タスクバーのトレーの中に、ピストル型のアイコンが出てきます。

 もし今度秀丸メールがフリーズしたら、そのアイコンをダブルクリックするか、
またはマウス右ボタンメニューからログ取りを指示して欲しいです。そうすると
どこで無限ループしてるか分かる用のログが作成されます。

 あと、もしも、受信したメールをサーバーに残す設定にしておられるなら、
「送受信 - リモートメール...」から問題のメールを受信しなおすことが出来ま
す。受信しなおせば再現するかもしれません。

 メールの件名が「6月分請求データ」となってるメールを受信しなおしていた
だければ、それで再現できそうな気がします。

 もし良かったら試してみて、ログが取れたら、その内容を教えて欲しいです。
ログが取れたら、そのログは秀丸メールのデータ用フォルダの「dump.txt」って
ファイルに出力されます。それを"maruo@mitene.or.jp"宛に送っていただけると
助かります。

-----------------------------
 同じ迷惑メールはこちらにもたくさん届いてて、今のところはこちらでは
フリーズする現象は起きてないようではあります。何か他にも条件があるのかも
しれません。あるいは新しいタイプだとダメなのかもしれませんが。(ウイルス
が変異したとかで)

> 長く利用しているせいにしていますが、TuruKameDataフォルダが16.5Gを超えました。
> 想定を超えておりますでしょうか・・・。

 メールデータが大量にあると重くなるというのはありますが、今回はメール
データの量が多いのとは関係ないと思います。
[ ]
RE:01516 Error at MIME multipartNo.01517
秀まるお2 さん 17/06/14 15:24
 
 もしかしたらアンチウイルスソフトが反応して固まってた可能性があるかもし
れません。秀丸メールが添付ファイルを保存した時にアンチウイルスソフトが反
応して、普通ならウイルス入り添付ファイルが駆除されるだけが、「秀丸メール
が怪しい動作をしてる」と解釈されて、無理矢理強制終了させられるケースが以
前ありました。

 カスペルスキーさんの場合にそういう例がりました。もしカスペルスキーさん
をお使いでしたら、

   http://hide.maruo.co.jp/setupantivirus/kaspersky20170110.html

 の所にある方法で秀丸メールを例外指定していただくと、いきなり強制終了さ
せられることは回避できると思います。
 (ウイルス入り添付ファイルもちゃんと除去されます)
[ ]
RE:01517 Error at MIME multipartNo.01520
anbu さん 17/06/14 15:47
 
ご連絡ありがとうございました。
当方のウイルス対策ソフトはキャノンのESET EndpointAntivirusというもので、長く
使っているものです。

最近変更したという経緯もありませんが、カスペルスキーの設定と似たような箇所を
探して設定してみたいと思います。

ありがとうございます。
因みに、このメールは秀丸メールが発動しているものなのでしょうか?






> もしかしたらアンチウイルスソフトが反応して固まってた可能性があるかもし
≪全文引用されていたのでコミュニテックス会議室システムが引用部分を省略処理し
ました。≫
> (ウイルス入り添付ファイルもちゃんと除去されます)
[ ]
RE:01520 Error at MIME multipartNo.01521
秀まるお2 さん 17/06/14 16:11
 
> 因みに、このメールは秀丸メールが発動しているものなのでしょうか?

 うちのサポート会議室は、メールで投稿したり、投稿した内容をメールで受け
取ったりって仕組みがありまして、僕自身も秀丸メールでやりとりしてます。

 フォーラムトップから「設定 --> 個人情報の設定と行った先の「メール転送
の設定」って所で配信の設定が出来ます。投稿については、

   "hidesoft.8@maruo.co.jp"

 ってメールアドレス宛にメールを送ると、ここの会議室に書き込まれるような
仕組みになってます。
[ ]
RE:01521 Error at MIME multipartNo.01524
anbu さん 17/06/15 10:43
 
秀まるお2様
すみません。
このメールとは投稿した原因となったエラーメールの積もりでした。
文章下手ですみません。

不可思議に思ったのは from:知らない人の名前@wa.2so-net.ne.jp もさることな
がら、CCに私が作っていないアカウントが入っていたことです(社内の上司のアドレ
ス)。これはどのような仕組みなのでしょうか。
バグを誘発したメールに対して返信しているイメージでしょうか?




>> 因みに、このメールは秀丸メールが発動しているものなのでしょうか?
≪全文引用されていたのでコミュニテックス会議室システムが引用部分を省略処理し
ました。≫
>仕組みになってます。
[ ]
RE:01524 Error at MIME multipartNo.01525
秀まるお2 さん 17/06/15 11:52
 
> 不可思議に思ったのは from:知らない人の名前@wa.2so-net.ne.jp もさることな
> がら、CCに私が作っていないアカウントが入っていたことです(社内の上司のアドレ
> ス)。これはどのような仕組みなのでしょうか。

 From: / To: / Cc: とかのヘッダの内容は、いわゆるウイルス感染したコンピ
ュータ上の、ウイルスをばらまく用のプログラムが生成してる物でして、その内
容がなぜそうなってるかは、ウイルスを作った人でないと分からないです。

 たぶん、ウイルスをばらまく用のプログラムを作ってる人は、いわゆる「ク
ローリング」という方法で世界中のメールアドレスを収集してるのと、ウイルス
感染したコンピュータの中からもメールアドレスを収集してて、そのデータベー
スを元にウイルスを世界中に発信してるんだと思います。あと、Cc:ヘッダにあ
えてそういうメールアドレスを入れるのは、いかにも「このメールは正規な
メールですよ」って誤解させる用の意味もあると思います。

 上司のメールアドレスの流出経路としては、先ほどの

  − ネット上に公開されてる
  − ウイルス感染したパソコン上のアドレス帳などからの流出

 の他には、例えば

  − スマホ上のアドレス帳の情報が、何らかの不正なアプリによって
    盗まれてる可能性。

 もあるかもしれないです。

> バグを誘発したメールに対して返信しているイメージでしょうか?

 秀丸メールで返信した訳じゃないので、秀丸メールがウイルスに何か情報を提
供しててしまったってことは無いと思います。

 仮に秀丸メールで返信したとしても、たぶん返信して届く先は無関係な人だと
思うので、それでどうこうってことも無いと思います。
 (そこまでかしこいウイルスは無いと思うので)

 とりあえず、最近のウイルスメールはなんとかして人をだまして添付ファイル
を開かせようとどんどん巧妙化してるので、だまされないようにしないといけな
いだろうと思います。
[ ]
RE:01525 Error at MIME multipartNo.01529
anbu さん 17/06/16 10:57
 
ありがとうございます。

> 秀丸メールで返信した訳じゃないので、秀丸メールがウイルスに何か情報を提

そうですか。
ということは、「### 秀丸メールからのお知らせ ###」という内容もすべてウイルス
と考えて良いわけですね。

時期的にも内容的にも重なっていた事で、混乱しました。
秀丸メールの中で何かクラッシュなど問題が発生・検知してもそれにアラートを上げ
るようなメールが発動されるような仕込みはされていないということで理解します。

巧妙な文章でびっくりしています。
秀丸メールの利用ユーザーさんが増えている証拠ですかね。
[ ]
RE:01529 Error at MIME multipartNo.01530
秀まるお2 さん 17/06/16 11:44
 
 すみません。その、

> ということは、「### 秀丸メールからのお知らせ ###」という内容もすべてウイルス
> と考えて良いわけですね。

 の部分は秀丸メールが生成してます。

 詳しい事情を説明させていただきますと・・・


 まず、ウイルス入りメールを受信してそのメールを秀丸メールが解析(いわゆ
るデコードの処理)をして、何らかの理由で秀丸メールがハングアップしました。
(今回のケース)

 秀丸メールは、「このメールをデコードしててハングアップした」ってことを、
Windowsの「レジストリ」って所に記録します。次回秀丸メールが起動された時
は、その「レジストリ」の記録を見て、「このメールをデコードしてる時に秀丸
メールがハングアップまたは異常終了したのだ」ということを認識します。

 で、その状態からもう一度同じメールを受信すると、「そのメールをデコード
したらまたフリーズしてしまうかもしれない」ということを認識します。もし
フリーズを繰り返したら、何度受信しても秀丸−ルがフリーズして何もメールが
受信出来なくなってしまうので。

 そういう、認識が働いた場合、問題のメールをデコードしないで、メール本文
にその

     ### 秀丸メールからのお知らせ ###

 のような文面に置き換えてしまいます。

 ですが、ヘッダの中身はそのままです。そのままというか、デコードしないま
まで保存します。

 これは、万が一秀丸メールにバグがあってフリーズを繰り返してしまわない用
の、いわゆるフェールセーフ的な機能になります。

 まとめると・・・・

  − 秀丸メールが受信解析して異常が見つかったメールは、次回受信時に
    デコードしない扱いとなる。
  − そういう理由でデコードしない扱いとなったメールは、本文がカット
    され、「秀丸メールからのお知らせ」のような物に置き換えられる
  − ヘッダについては届いたメールそのまま、デコードされないで保存
    される。

 みたいな仕組みにしています。

 なので、From: To: Cc: などのヘッダについてはウイルスが生成した物で、
メール本文は秀丸メールが勝手に書き換えた内容となります。

 ややこしくてすみません。
[ ]
RE:01530 Error at MIME multipartNo.01552
anbu さん 17/06/21 11:33
 
ご連絡ありがとうございました。
よく分かりました。



>
> みたいな仕組みにしています。
>
> なので、From: To: Cc: などのヘッダについてはウイルスが生成した物で、
>メール本文は秀丸メールが勝手に書き換えた内容となります。
>
> ややこしくてすみません。
[ ]