ORCA愉快日記
2013|04|
2011-01-20 最近来たSPAMメールを追跡調査してみた
_ [PC] 最近来たSPAMメールを追跡調査してみた
SPAMメールうっとうしいですね。サーバーやメーラー側でフィルタリングしているものの、すり抜けてきたSPAMメールが受信箱に出てきます。特定電子メール法で迷惑メールの送信者には罰則があるものの、実効性は薄いですし。SPAMメールとして報告されたもののうち、悪質なものに対して行政処分をし、それに従わなかった場合にようやく懲役または罰金で、個人なら1年以下の懲役又は100万円以下の罰金ですからね。色々な手段を仕立て上げれば、SPAM配信をおこなったほうの利益が大きいというのがなんとも。
□ 送られてきたSPAM 下記のような出会い系サイトに誘導するSPAMが20通近く連続送信されてきました。 わざわざ画像にしているのは、コメントSPAM避けのためです。□ cherie-tv.netについての調査 このSPAMメール中でリンクされているドメインcherie-tv.netを参照すると 下記のような運営者情報があった。 ------------------------------------- サイト名 : シェリエ Cherie URL : http://cherie-tv.net/ 運営会社 : 株式会社ナノデザイン 所在地 : 埼玉県八潮市南川崎115-2 責任者名 : 遠田竜太 電話番号 : 0800-800-1363 メールアドレス : info@cherie-tv.net ------------------------------------- 所在地や責任者名でググってみると、似たような出会い系サイトの情報がたくさん出てきます。 埼玉県の八潮市とか川口市のものが多いので、その辺りの土地勘があるのでしょうか。 Google Mapで埼玉県八潮市南川崎115-2の住所を探してみたが、ストリートビューを 見る限り、普通の民家が1件あるだけ。0800で始まる電話番号は、最近取得されたフリーダイヤル。 Webサイトのソースを見てみると、pc.cherie-tv.netのコンテンツは「ラブフォルダ」という サイトのものを流用した形跡が残っている。ソース中でコメントアウトされている。 Netcraftによると、pc.cherie-tv.netはWindows Server 2003のMicrosoft-IIS/6.0で運用されている。 □ cherie-tv.netドメインの情報を調べてみた ---------------------------------------------------------------- $ dig cherie-tv.net +noall +answer any ; <<>> DiG 9.7.0-P1 <<>> cherie-tv.net +noall +answer any ;; global options: +cmd cherie-tv.net. 82048 IN TXT "v=spf1 a mx include:spf1.applemailer.net ~all" cherie-tv.net. 81096 IN A 210.189.252.201 cherie-tv.net. 81096 IN NS ns01.idc.jp. cherie-tv.net. 81096 IN NS ns03.idc.jp. cherie-tv.net. 81096 IN NS ns02.idc.jp. ---------------------------------------------------------------- pc.cherie-tv.net(cherie-tv.net)のIPは、210.189.252.201 正引き・逆引きに対応している。 ネームサーバはIDCフロンティア(idc.jp)のものを利用している模様。 SPAM判定されにくいように、ご丁寧にSPFレコード(v=spf1 a mx include:spf1.applemailer.net ~all) を記述している。海外経由でとか、なりすましのドメインではなく 堂々とSPAMを送ってきているわけですね。 cherie-tv.netのドメインは、お名前.comで2010/9/26に取得されたもの。 しかしながら、210.189.252.201をwhoisを調べてみると 医療系の会社mic.co.jpの所有ということになっている。 (www.mic.co.jpにブラウザでアクセスすると、www.mic.jpに飛ばされる。) 虚偽の情報を登録しているのか、IP割り当ての情報が更新されていないのか? ---------------------------------------------------------------- $ whois 210.189.252.201 [ JPNIC database provides information regarding IP address and ASN. Its use ] [ is restricted to network administration purposes. For further information, ] [ use 'whois -h whois.nic.ad.jp help'. To only display English output, ] [ add '/e' at the end of command, e.g. 'whois -h whois.nic.ad.jp xxx/e'. ] Network Information: [ネットワーク情報] a. [IPネットワークアドレス] 210.189.252.192/26 b. [ネットワーク名] CLOUD2 f. [組織名] 株式会社MIC g. [Organization] MIC Inc. m. [管理者連絡窓口] TS23920JP n. [技術連絡担当者] TS23920JP p. [ネームサーバ] [割当年月日] 2010/04/13 [返却年月日] [最終更新] 2010/04/13 11:32:03(JST) 上位情報 ---------- ヤフー株式会社 (Yahoo Japan Corporation) [割り振り] 210.189.192.0/18 ヤフー株式会社 (Yahoo Japan Corporation) SUBA-021-318 [SUBA] 210.189.252.0/24 下位情報 ---------- 該当するデータがありません。 ---------------------------------------------------------------- whoisに登録されている担当者情報の詳細を取得してみた。 電話番号はエステサロンのものみたいだし、登録情報そのものが 虚偽の可能性が高いです。 ---------------------------------------------------------------- $ whois -h whois.nic.ad.jp TS23920JP [ JPNIC database provides information regarding IP address and ASN. Its use ] [ is restricted to network administration purposes. For further information, ] [ use 'whois -h whois.nic.ad.jp help'. To only display English output, ] [ add '/e' at the end of command, e.g. 'whois -h whois.nic.ad.jp xxx/e'. ] Contact Information: [担当者情報] a. [JPNICハンドル] TS23920JP b. [氏名] 滝沢 精 c. [Last, First] Suguru, Takizawa d. [電子メイル] takizawa@mic.co.jp f. [組織名] 株式会社MIC g. [Organization] MIC Inc. k. [部署] l. [Division] m. [肩書] n. [Title] o. [電話番号] 03-5493-8066 p. [FAX番号] y. [通知アドレス] jpnic-notify@idc.jp [最終更新] 2010/04/13 11:33:33(JST) db-staff@nic.ad.jp ---------------------------------------------------------------- このアドレス範囲 210.189.252.192/26の配下のドメイン名を調べてみた。 cherie-tv.netのサイトのコンテンツで流用されていたラブフォルダもあるので 少なくとも210.189.252.219あたりまでのアドレス範囲は、同一または 似たような出会い系業者によって使われているようです。 ()付きで注記しているのは2001/1現在稼働中のもの。 ---------------------------------------------------------------- $ for i in `seq 193 255`; do host 210.189.252.$i|grep pointer; done 193.192/26.252.189.210.in-addr.arpa domain name pointer love-folder.com. 194.192/26.252.189.210.in-addr.arpa domain name pointer binaryyy.info. 195.192/26.252.189.210.in-addr.arpa domain name pointer aphrodita1.com. (サイト閉鎖) 196.192/26.252.189.210.in-addr.arpa domain name pointer shinseidenjyutu.jp. 197.192/26.252.189.210.in-addr.arpa domain name pointer c0820.com. 198.192/26.252.189.210.in-addr.arpa domain name pointer tomodachi-wa.jp. (出会い系:friend ship) 199.192/26.252.189.210.in-addr.arpa domain name pointer diana12.jp. (出会い系:ダイアナ) 200.192/26.252.189.210.in-addr.arpa domain name pointer f-commu.net. (出会い系:Friend Commu) 201.192/26.252.189.210.in-addr.arpa domain name pointer cherie-tv.net. (出会い系:Cherie) 202.192/26.252.189.210.in-addr.arpa domain name pointer mtlove.info. 203.192/26.252.189.210.in-addr.arpa domain name pointer pr-days.net. (出会い系:Precious Days) 204.192/26.252.189.210.in-addr.arpa domain name pointer strawberry-cream.com. 205.192/26.252.189.210.in-addr.arpa domain name pointer mt-you.com. 206.192/26.252.189.210.in-addr.arpa domain name pointer ai-style1.com. 207.192/26.252.189.210.in-addr.arpa domain name pointer joy123.jp. (じょいふる) 208.192/26.252.189.210.in-addr.arpa domain name pointer d--ai.com. (出会い系) 211.192/26.252.189.210.in-addr.arpa domain name pointer uranaimura.com. (占い系:占い村・レイ) 212.192/26.252.189.210.in-addr.arpa domain name pointer fatehealing.com. (占い系:フェイトヒーリング) 214.192/26.252.189.210.in-addr.arpa domain name pointer matroid.info. (占い系:ラッキーフォーチューン) 215.192/26.252.189.210.in-addr.arpa domain name pointer motrox.net. (占い系:Another King) 216.192/26.252.189.210.in-addr.arpa domain name pointer noir-planet.com. (出会い系:Flower Meets) 217.192/26.252.189.210.in-addr.arpa domain name pointer espoir-star.net. (占い系:占い村・レイ?) 218.192/26.252.189.210.in-addr.arpa domain name pointer uranaielise.com. 219.192/26.252.189.210.in-addr.arpa domain name pointer fortune-telling.asia. (出会い系:Love Links) 220.192/26.252.189.210.in-addr.arpa domain name pointer akashic-record.me. 232.192/26.252.189.210.in-addr.arpa domain name pointer moclliw.net. 240.192/26.252.189.210.in-addr.arpa domain name pointer 9898981.net. ---------------------------------------------------------------- □ 上記ドメインのその後(2011/10現在) 多くのドメインは期限切れで捨てられているようですが、一部のドメインは 210.189.252.192/26以下から211.120.44.192/26以下のアドレス範囲に 移って稼動しているようです。 (211.120.44.192/26のドメインも株式会社MICでの名義) ---------------------------------------------------------------- (有効期限内のドメイン) mtlove.info has address 69.46.91.196 strawberry-cream.com has address 81.88.57.68 joy123.jp has address 211.120.44.207 d--ai.com has address 211.120.44.208 matroid.info has address 211.120.44.201 motrox.net has address 211.120.44.202 noir-planet.com has address 211.120.44.203 espoir-star.net has address 211.120.44.204 uranaielise.com has address 211.120.44.209 (無効になったドメイン/レジストラ管理下のドメイン) Host love-folder.com not found: 3(NXDOMAIN) Host aphrodita1.com not found: 3(NXDOMAIN) Host shinseidenjyutu.jp not found: 3(NXDOMAIN) Host c0820.com not found: 2(SERVFAIL) Host tomodachi-wa.jp not found: 3(NXDOMAIN) Host diana12.jp not found: 3(NXDOMAIN) Host f-commu.net not found: 2(SERVFAIL) Host pr-days.net not found: 3(NXDOMAIN) Host mt-you.com not found: 3(NXDOMAIN) Host ai-style1.com not found: 3(NXDOMAIN) Host fatehealing.com not found: 2(SERVFAIL) Host fortune-telling.asia not found: 2(SERVFAIL) Host akashic-record.me not found: 2(SERVFAIL) Host moclliw.net not found: 3(NXDOMAIN) Host 9898981.net not found: 3(NXDOMAIN) cherie-tv.net has address 210.157.1.131 (ドメイン期限切れでお名前.com管理下) uranaimura.com has address 210.157.1.131 (ドメイン期限切れでお名前.com管理下) ---------------------------------------------------------------- このアドレス範囲211.120.44.192/26以下のドメイン名を調べてみた。 新しいドメインもありますが、ここのアドレス範囲に引っ越したようです。 ---------------------------------------------------------------- $ for i in `seq 193 255`; do host 211.120.44.$i|grep pointer; done 193.192/26.44.120.211.in-addr.arpa domain name pointer 1balance.net. 201.192/26.44.120.211.in-addr.arpa domain name pointer matroid.info. 202.192/26.44.120.211.in-addr.arpa domain name pointer motrox.net. 203.192/26.44.120.211.in-addr.arpa domain name pointer noir-planet.com. 204.192/26.44.120.211.in-addr.arpa domain name pointer espoir-star.net. 205.192/26.44.120.211.in-addr.arpa domain name pointer tele-port.info. 206.192/26.44.120.211.in-addr.arpa domain name pointer twilight-xx.info. 207.192/26.44.120.211.in-addr.arpa domain name pointer joy123.jp. 208.192/26.44.120.211.in-addr.arpa domain name pointer d--ai.com. 209.192/26.44.120.211.in-addr.arpa domain name pointer uranaielise.com. 210.192/26.44.120.211.in-addr.arpa domain name pointer 2time.jp. 211.192/26.44.120.211.in-addr.arpa domain name pointer relief.jpn.com. 212.192/26.44.120.211.in-addr.arpa domain name pointer precious-world.me. 213.192/26.44.120.211.in-addr.arpa domain name pointer ki-ra-me-ki.com. 214.192/26.44.120.211.in-addr.arpa domain name pointer horacle.net. 215.192/26.44.120.211.in-addr.arpa domain name pointer d-olce.com. 216.192/26.44.120.211.in-addr.arpa domain name pointer sear-ch.biz. 217.192/26.44.120.211.in-addr.arpa domain name pointer tenderness.biz. 218.192/26.44.120.211.in-addr.arpa domain name pointer right-person.org. 254.192/26.44.120.211.in-addr.arpa domain name pointer tenhakassai.com. ---------------------------------------------------------------- □ SPAM送信元の解析 メール送信は、applemailer.netのサーバからのもの。 111x223x198x203.applemailer.net [111.223.198.203] applemailer.netのドメインは、格安で有名なValueDomainで2010/8/30に取得されたもの。 Google検索をすると、2010/10月以降にこのドメイン発のSPAMが増えているのが分かる。 applemailer.netの苦情連絡先は、SPAM送信に使われることで有名なcyber-mailer.comのもの。 また、上位はこれもSPAM送信に使われることで有名なace-idc.comのもの。 ace-idc.comの運営会社の会社概要は、なぜか画像になっています。 http://www.acegroup.co.jp/infomation.html ここらへんのレベルで苦情連絡をしても、きちんと対処してもらえなさそうですね。 (2011/10現在、111.223.198.203のnetnameは APPLESRV-NET となっています。) ---------------------------------------------------------------- $ whois 111.223.198.203 % [whois.apnic.net node-3] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html inetnum: 111.223.198.0 - 111.223.198.255 netname: APPLEMAILER remarks: ----------------------------- remarks: Send spam and abuse reports to remarks: abuse@applemailer.net remarks: ----------------------------- descr: APPLEMAILER country: JP admin-c: AIna1-AP tech-c: AIna1-AP status: ASSIGNED NON-PORTABLE mnt-by: MAINT-ACE-JP mnt-irt: IRT-ACE-JP changed: abuse@cyber-mailer.com 20090729 source: APNIC route: 111.223.192.0/19 descr: Ace, Inc. origin: AS38462 mnt-by: MAINT-ACE-JP changed: hm-changed@apnic.net 20090813 source: APNIC role: ACE INC - network administrator address: Tokyo country: JP phone: +81-3-5324-0252 fax-no: +81-3-5324-0253 e-mail: abuse@ace-idc.com admin-c: AIna1-AP tech-c: AIna1-AP nic-hdl: AIna1-AP mnt-by: MAINT-ACE-JP changed: hm-changed@apnic.net 20081209 source: APNIC changed: hm-changed@apnic.net 20081209 ---------------------------------------------------------------- (2011/12/21以降は、同一のIPアドレス範囲はmashmosh.netという名義で 取得されて、同様にSPAM送信に使われているようです。) ---------------------------------------------------------------- inetnum: 111.223.198.0 - 111.223.198.255 netname: mashmosh-net remarks: ----------------------------- remarks: Send spam and abuse reports to remarks: abuse@mashmosh.net remarks: ----------------------------- descr: mashmosh-net country: JP admin-c: AIna1-AP tech-c: AIna1-AP status: ASSIGNED NON-PORTABLE mnt-by: MAINT-ACE-JP mnt-irt: IRT-ACE-JP changed: abuse@mashmosh.net 20111221 source: APNIC route: 111.223.192.0/19 descr: ACE origin: AS56291 country: JP mnt-lower: MAINT-ACE-JP mnt-routes: MAINT-ACE-JP mnt-by: MAINT-ACE-JP changed: abuse@ace-idc.com 20110602 source: APNIC role: ACE INC - network administrator address: Tokyo country: JP phone: +81-3-6447-0487 fax-no: +81-3-6447-0487 e-mail: abuse@ace-idc.com admin-c: AIna1-AP tech-c: AIna1-AP nic-hdl: AIna1-AP mnt-by: MAINT-ACE-JP changed: hm-changed@apnic.net 20081209 changed: hm-changed@apnic.net 20081209 source: APNIC ---------------------------------------------------------------- □ 迷惑メールの通報先 迷惑メール等を受けたときは、下記の日本データ通信協会のアドレス等に SPAMメールを転送することで報告しましょう。 迷惑メール報告の多い業者に対しては、総務省からの指導・処罰が行われます。 日本データ通信協会 - 迷惑メール相談センター http://www.dekyo.or.jp/soudan/ihan/index.html 迷惑メールの報告は、 meiwaku@dekyo.or.jp 宛にメールを転送。
_ [PC] 迷惑メール情報提供用プラグインで簡単にSPAM報告する方法
迷惑メールはSPAMフィルタ等を利用して排除したり、無視するのが一番ですが 迷惑メールがうっとうしいのでなんとかしたいと思っている人は、2011/4/1に正式リリースされた 総務省の迷惑メール情報提供用プラグインを利用してみるといいかもしれません。 総務省 - 迷惑メール情報提供用プラグイン http://plugin.antispam.go.jp/ 対応メーラーはOutlook Express、Outlook、Windows Live Mail、Thunderbird に限られますが、プラグインを導入することで一度に50通までの迷惑メールを 一気に報告することができます。 日本データ通信協会 - 迷惑メール相談センター (meiwaku@dekyo.or.jp)へ 1通ごとにメールを転送しなくても良いのは便利ですね。 気長に報告を行なっていれば、総務省サイトで自分の報告した業者の処罰が いずれ見れるかもしれません。 関連リンク 総務省 - 迷惑メール情報提供用プラグインソフトの配布開始 http://www.soumu.go.jp/menu_news/s-news/01kiban08_01000022.html 総務省 - 利用者視点を踏まえたICTサービスに係る諸問題に関する研究会 <迷惑メールへの対応の在り方に関する検討WG> http://www.soumu.go.jp/menu_sosiki/kenkyu/11454.html
[ツッコミを入れる]