Artikelns titel: NHK "Digital Tattoo" Avsnitt 5: IT-teknik och lagstiftning

Den 15 juni sändes det sista avsnittet av NHK:s lördagsdrama ‘Digital Tattoo’, ett drama med en advokat som huvudperson, som behandlar ämnen som hantering av ryktesbaserade skador på internet. Som advokaten som ansvarade för originalidén till detta drama, kommer jag att förklara de juridiska förfaranden och IT-tekniker som presenteras i dramat.

https://monolith.law/reputation/nhkdrama-degitaltatoo-04[ja]

Identifiering av anonyma e-postavsändare

I det sista avsnittet, avsnitt 5, skildras en scen där YouTubern Taiga (Daisuke Ito) (spelad av Koji Seto), som är en av de två huvudpersonerna, konfronterar sin far, politikern Hidemitsu Ito (spelad av Masato Ibu). Fram till denna punkt har Taiga undersökt om “gärningsmannen” som skickade instruktioner via e-post till den våldsman som attackerade honom, befinner sig inom Hidemitsu Itos kontor, genom att analysera de e-postmeddelanden som våldsverkaren mottog.

Med denna scen som utgångspunkt kommer vi att förklara de tekniska metoderna för att identifiera avsändaren av en e-post.

“Vi fångade mannen som attackerade och fick honom att prata. Instruktionerna att sikta på Daisuke kom från detta kontor, via en mörk webbplats.”

Digital Tattoo, avsnitt 5

Scenen som motsvarar detta är i avsnitt 1.

“(Vrider hans arm) Vem bad dig? Vem bad dig att attackera Taiga?”
“Jag, jag vet inte.”
“Vem bad dig! Säg det!”
“På, på en mörk webbplats på nätet…”
“En mörk webbplats?”
“Jag fick ett mail, de hotade mig med en miljon…”

(Utelämnat)

“Visa mig det mailet!”

Digital Tattoo, avsnitt 1

Gärningsmannen som gav instruktioner till våldsverkaren identifierar sig naturligtvis inte som “Jag är från Hidemitsu Itos kontor”. De borde ha skickat instruktioner anonymt via en “mörk webbplats” med hjälp av en e-postadress som kan användas anonymt, som Yahoo!. Men även om detta är fallet, finns det fall där avsändaren av en e-post kan undersökas med hjälp av IT-teknik.

Undersökning av sändningsvägen genom analys av e-posthuvud

När du öppnar ett e-postmeddelande på en smartphone eller i GMail, visas information som “avsändare” och “ämne” förutom själva meddelandet. Denna information, som inte är en del av själva meddelandet, är skrivet i ett område som kallas “e-posthuvud”. Genom att förstå och analysera detta “e-posthuvud” kan du i viss mån undersöka sändningsvägen för e-postmeddelandet.

Tänk först på ett vykort. Ett vykort har en framsida och en baksida. Meddelandet är på baksidan. På framsidan finns avsändare och mottagare, samt ibland ett poststämpel.

Relationen mellan “e-posthuvudet och meddelandet i ett e-postmeddelande” liknar “relationen mellan framsidan och baksidan av ett vykort”. Om du bara vill se meddelandet behöver du inte titta på framsidan. Du tittar på framsidan av vykortet för att få information om vem brevet kom från och när det ungefär postades.

Och detta e-posthuvud läggs till efter att meddelandet har skickats. Det är ett system som liknar hur ett poststämpel trycks på ett vykort.

Hur man kontrollerar e-posthuvudet i GMail

I GMail kan du visa e-posthuvudet genom att öppna ett e-postmeddelande och välja “Visa källa för meddelande” från ikonen i övre högra hörnet.

E-posthuvudet läggs ständigt till längst upp i sändningsvägen. Det blir en ganska detaljerad diskussion om vi försöker förklara hur man läser det i detalj, så vi kommer att hoppa över det. Men på grund av detta “läggs till längst upp” system, är det IP-adressen till e-postavsändaren som visas längst ner i detta e-posthuvud. Det är som om du kan se var postkortet först postades genom att titta på e-posthuvudet.

Det finns fall där avsändaren kan identifieras från IP-adressen för e-postavsändaren

I denna dramaserie var avsändaren en person inom Hideki Itos kontor, och kontorets IP-adress var avsändaradressen. För fasta linjer, som hem och kontor, finns det mönster där IP-adressen ändras dagligen och mönster där den inte ändras (så kallade fasta IP-adresser). Det är utelämnat i dramat, men Hideki Itos kontors IP-adress är fast, och Tiger märkte på något sätt att “denna (fasta) IP-adress är Hideki Itos kontors IP-adress”.

Om denna “något sätt”, baserat på dramats framställning, var det troligen följande metod.

För det första representeras “e-postservern” av IP-adressen och det motsvarande värdnamnet. Om du har skaffat en egen domän och har en e-postserver i ditt hem, kommer värdnamnet i sig att innehålla Hideki Itos egen domän, till exempel “smtp.itouhidemitsu.jp”, och det är uppenbart vid första anblicken att det har skickats från Hideki Itos server om du läser e-posthuvudet där värdnamnet är skrivet.

Även om det är en fast IP-adress, finns det fall där gärningsmannen kan identifieras genom att jämföra med tidigare e-post. Till exempel, om en tidigare pojkvän skickar trakasserande e-post anonymt, även om e-postadressen i sig är “anonym”,

• IP-adressen som är skriven i e-posthuvudet för e-posten från när de var tillsammans
• IP-adressen som är skriven i e-posthuvudet för den anonymt skickade trakasserande e-posten

Om de matchar, kommer det att bli klart att “gärningsmannen är den tidigare pojkvännen”.

I dramat hade Tiger knappast någon kontakt med Hideki Ito under många år, och det verkar som om han bara pratade med sekreteraren ibland, så det är osäkert om han kände till Hideki Itos kontors (fasta) IP-adress. Det är troligt att Hideki Itos egen domän var inkluderad i värdnamnet i sig.

Men att identifiera avsändaren från e-posthuvudet (och IP-adressen för avsändaren som är skriven i det) är dock ett undantagsfall. Generellt sett är denna undersökning ganska svår.

https://monolith.law/reputation/email-sender-identification[ja]