ごく数人しか知らないプライベートなメールアドレスに、出会い系のspamメールが来て腹が立ったので、調査してみました。こういうのを怒りドリブンな行動とでもいうのでしょうか。なんとなく心理的にはプライベート空間にずかずかと乗り込まれたような気がするんですが。ともかく、どこでアドレスを知ったかが気になるところですが、数人のうち誰かがウイルス感染なりクラックされたのでなければ、キーワード組み合わせでアドレス作成しているんでしょうね。 spamへの対処法は、下のほうに迷惑メール問い合わせ先を書いておきます。
□ spamメールの本文 まずは、「DEAIの社 中島君江」なる名義で送られてきたspamメールの本文です。 メール本文中に、出会い系サイト(http://www.earthcomu.com/aicom/associa)へ 誘導するURLを含んでいます。 □ spamメールのメールヘッダ 発信元は、59.39.54.151=151.54.39.59.broad.fs.gd.dynamic.163data.com.cnで 悪名高き163.data.com.cnからのもの。ホスト名からして おそらく、広東省(Guangdong)のFoshan(佛山)にあるspam送信業者に 依頼して送信されているのでしょう。 ------------------------------------------------------------- Received: from 59.39.54.151 (59.39.54.151 [59.39.54.151]) by sbmx6 (SpamBlock.ps 3.4.100) with ESMTP id 1216868248841315.25882@sbmx6 for <antispam@example.com>; Thu, 24 Jul 2008 11:59:08 +0900 ------------------------------------------------------------- □ 出会いの社 spamに関する情報 新・いらないメール展示会さんやスパムメールを送り付ける悪質業者さんが詳しい。 大元は、「出会いの浪漫飛行」なる出会い系サイトで、過去に同じような spamメールを送ってきた「メルコミュ」とも繋がっているようです。 (メルコミュ) -- (出会いの浪漫飛行) -- (出会いの社) で同一業者か関連業者でしょうね。 □ 「出会いの社」について調べてみた Googleで特定のキーワードで検索して、2008/7/25現在有効なアドレスを 拾ってみた。一部は中国(.cn)の転送ドメインを利用しており 香港(.hk)のドメインに転送する、うさんくささぷんぷんの構成。 ------------------------------------------------------------- http://www.infosjp.com/aicom/associa/ (中国の転送サイト) → http://gentlestn.com/aicom/associa/ (香港の誘導サイト) に転送 http://www.earthcomu.com/aicom/associa/ (中国の転送サイト) → http://togeth.net/aicom/associa/ (香港の誘導サイト)に転送 http://gentlestn.com/aicom/associa/ (香港の誘導サイト) http://togeth.net/aicom/associa/ (香港の誘導サイト) http://www.aibounces.com/aicom/future/ (香港の誘導サイト) http://www.topofwld.com/aicom/future/ (香港の誘導サイト) ------------------------------------------------------------- 上記のWebサイトの登録フォームからPOSTでの送信先が、ほぼ全て <form action="http://www.deaerunara.com/media/entryform" method="post"...> spam誘導の目的サイト、出会いの浪漫飛行(http://www.deaerunara.com/)のドメインに送信されるようになっている 「出会いの浪漫飛行」は、以下のドメインで運営されており 海外サーバではなく日本のさくらネットの専用サーバで 運営されているようだ。 http://www.deaerunara.com/ http://koijikan.com/ [転送ドメイン(中国)]---[出会いの杜 :誘導サイト(香港)]---[出会いの浪漫飛行 :出会い系サイト(さくらネット)] □ 出会い系spamの目的サイト ----------------------------------------------------------- $ nslookup www.deaerunara.com Server: 202.238.95.24 Address: 202.238.95.24#53 Non-authoritative answer: Name: www.deaerunara.com Address: 219.94.148.142 ------------------------------------------------------------- $ nslookup koijikan.com Server: 202.238.95.24 Address: 202.238.95.24#53 Non-authoritative answer: Name: koijikan.com Address: 219.94.148.142 ------------------------------------------------------------- www.deaerunara.comもkoijikan.comも、IP(219.94.148.142)は同一で さくらの専用サーバ10Mスタンダードで運営しているっぽい。 □ 使用している転送ドメイン名 転送ドメイン名として、www.infosjp.comとwww.earthcomu.comが使われている。 どちらもIPアドレスは58.59.176.27でCHINANET Guangxi province network所属。 ----------------------------------------------------------- $ nslookup www.infosjp.com (転送ドメイン1) Server: 202.238.95.24 Address: 202.238.95.24#53 Non-authoritative answer: Name: www.infosjp.com Address: 58.59.176.27 ------------------------------------------------------------- $ nslookup www.earthcomu.com (転送ドメイン2) Server: 202.238.95.24 Address: 202.238.95.24#53 Non-authoritative answer: Name: www.earthcomu.com Address: 58.59.176.27 ------------------------------------------------------------- $ whois 58.59.176.27 inetnum: 58.59.128.0 - 58.59.255.255 netname: CHINANET-GX descr: CHINANET Guangxi province network descr: China Telecom descr: No1,jin-rong Street descr: Beijing 100032 country: CN ----------------------------------------------------------- □ 出会い系サイトへの誘導サイト - パターンA ------------------------------------------------------------- $ nslookup www.aibounces.com (誘導サイト1) Server: 202.238.95.24 Address: 202.238.95.24#53 Non-authoritative answer: Name: www.aibounces.com Address: 202.67.215.164 ------------------------------------------------------------- $ nslookup www.topofwld.com (誘導サイト2) Server: 202.238.95.24 Address: 202.238.95.24#53 Non-authoritative answer: Name: www.topofwld.com Address: 202.67.215.164 ------------------------------------------------------------- $ nslookup gentlestn.com (誘導サイト3) Server: 202.238.95.24 Address: 202.238.95.24#53 Non-authoritative answer: Name: gentlestn.com Address: 202.67.215.164 ------------------------------------------------------------- $ whois 202.67.215.164 inetnum: 202.67.215.0 - 202.67.215.255 netname: HKNET-HK descr: HKNet Company Limited descr: 15/F, Tower 2, Ever Gain Plaza descr: 88 Container Port Road, Kwai Chung country: HK ------------------------------------------------------------- □ 出会い系サイトへの誘導サイト - パターンB ------------------------------------------------------------- $ nslookup togeth.net Server: 202.238.95.24 Address: 202.238.95.24#53 Non-authoritative answer: Name: togeth.net Address: 203.169.139.217 ------------------------------------------------------------- $ whois 203.169.139.217 inetnum: 203.169.128.0 - 203.169.159.255 netname: HKNET-HK descr: HKNet Company Limited descr: 32/F., Shun Tak Centre, China Merchants Tower, descr: 168-200 Connaught Road Central., Hong Kong. country: HK ------------------------------------------------------------- □ 出会い系サイトへの誘導サイト - パターンC ------------------------------------------------------------- $ nslookup www.upsurgee.com Server: 202.238.95.24 Address: 202.238.95.24#53 Non-authoritative answer: Name: www.upsurgee.com Address: 203.169.139.212 ------------------------------------------------------------- $ whois 203.169.139.212inetnum: 203.169.128.0 - 203.169.159.255 netname: HKNET-HK descr: HKNet Company Limited descr: 32/F., Shun Tak Centre, China Merchants Tower, descr: 168-200 Connaught Road Central., Hong Kong. country: HK ------------------------------------------------------------- □ その他、過去に使用していたと思われるドメイン その他、調査してみた正引きできないドメイン。 ------------------------------------------------------------- www.someflow.com www.dearevday.com www.mairevo.com www.feelingstie.com www.real-izes.com www.lvmedo.com www.nagisae.com www.ityearns.com ------------------------------------------------------------- □ spamメール/迷惑メールの主な報告先 迷惑メール等を受け取った際の申し立ては、下記のサイト等へ。 ------------------------------------------------------------- 日本データ通信協会 - 違反メールの情報提供ページ http://www.dekyo.or.jp/soudan/ihan/ 日本産業協会 - 迷惑メール情報提供受付ページ http://www.nissankyo.or.jp/spam/display.html
先月に引き続き、今月もプライベートなメールアドレスにspamがやってきたので、怒りながらそれの追跡調査をしたのをネタにしてみます。
色々調べてみると、「Dynamite Mail」を名乗る、浪漫飛行系のサイトに誘導されるspamで、先日の「出会いの社」からのspamと同一の業者が発信しているものと思われます。ま、色々調べなくてもすぐに分かるんですが(www
□ spamメールの本文 「Dynamite Mail 人生をもっと楽しく!!事務局」なる名義で送られてきた spamメールの本文。こちらも同じく、違法にメール本文中に出会い系サイトへ誘導するURL (http://www.reliefth.com/d-hunt)を含んでいます。 □ spamメールのメールヘッダ 発信元は、59.39.18.54 = 54.18.39.59.broad.fs.gd.dynamic.163data.com.cnで 悪名高き163.data.com.cnからのもの。以前と同様に広東省(Guangdong)の Foshan(佛山)にあるspam送信業者に依頼して送信されていると思われます。 ------------------------------------------------------------- Received: from 59.39.18.54 (59.39.18.54 [59.39.18.54]) by sbmx11 (SpamBlock.ps 3.4.100) with ESMTP id 1219464975790891.22068@sbmx11 for <antispam@example.com>; Sat, 23 Aug 2008 11:27:15 +0900 ------------------------------------------------------------- □ spamメールの「Dynamite Mail」について調べてみる 今回送られてきたメールのリンク先 www.reliefth.com について調査してみました。 ------------------------------ Name: www.reliefth.com Address: 58.59.176.27 ------------------------------ 中国の転送ドメイン www.reliefth.com から香港のドメイン www.topofwld.comに転送される、お決まりのうさんくさい構成。 ------------------------------ Name: www.topofwld.com Address: 202.67.215.164 ------------------------------ このサイトの中では、香港のドメインhttp://dimg.be/の spamサイト「出会いスペース」にリンクされており、これが誘導させたい サイトの実体。 実際に登録して試してないので分かりませんが、内部では日本の ドメインに情報を転送しているのではないかと思われます。 ------------------------------ Name: dimg.be Address: 202.67.139.177 ------------------------------ □ 「Dynamite Mail」の関連先 「Dynamite Mail」スパムやサイトでは、下記のような名義を名乗っていいるので 同一の浪漫飛行系業者が送ってきているものと思われます。 ------------------------------------------ 運営:人生をもっと楽しく!!会いコン事務局 運営:人生をもっと楽しく!!浪漫事務局 運営:人生をもっと楽しく!!roman事務局 運営:人生をもっと楽しく!!事務局 事務局: Mailbox-Deluxe Support ------------------------------------------ また、各サイトでは上記のような名義やJavaScriptによる処理や ユーザトラッキングなどが多少異なってますが、基本的に同様の構成です。 □ Dynamite Mail関連で使用されている/いたドメイン また、2008/8/23現在使用している/使われなくなった ドメインは以下の通り。中国の転送ドメインから 香港のドメインに転送されるうさんくさいものが多いようです。 ------------------------------------------ ○ http://www.svnwish.com/dymail → http://qingplease.com/dymail/ ○ http://aibounces.com/d-hunt/ ○ http://eobue.com/d-hunt → http://aibounces.com/d-hunt/ ○ http://gachi3.com/nex/e/ ○ http://www.reliefth.com/d-hunt → http://www.topofwld.com/d-hunt/ × http://biggestpt.com/d-hunt × http://itsumoaishite.com/neg/e/ × http://www.evernever.net/dmail/hunt × http://www.koineedu.com/dmail/heart × http://www.koisorae.com/dmail/heart × http://www.mabayui.com/dmail/hunt × http://www.mindnote.biz/dmail/heart × http://www.someflow.com/dmail/fine ------------------------------------------ □ 各spamサイトに関する情報 ○ http://www.svnwish.com/dymail → http://qingplease.com/dymail/ 中国の転送ドメインから、別の中国の転送ドメインに転送される。 転送先サイトで、顧客情報が送信されるのは香港のドメイン。 -------------------------------- Name: www.svnwish.com Address: 58.59.176.27 -------------------------------- -------------------------------- Name: qingplease.com Address: 218.242.29.228 -------------------------------- フォーム送信先 http://1151.in/visitor/memberPreEntry.do? -------------------------------- Name: 1151.in Address: 202.67.195.64 -------------------------------- ○ http://aibounces.com/d-hunt/ 香港のドメインで運営されている。 -------------------------------- Name: aibounces.com Address: 202.67.215.164 -------------------------------- フォーム送信先は、お決まりの「出会いの浪漫飛行」 http://www.deaerunara.com/media/entryform ○ http://eobue.com/d-hunt → http://aibounces.com/d-hunt/ シンガポールの転送ドメインから、上記の香港のドメインに転送される。 -------------------------------- Name: eobue.com Address: 203.142.19.82 -------------------------------- こちらも、個人情報はお決まりの「出会いの浪漫飛行」に情報が送信されます。 http://www.deaerunara.com/media/entryform ○ http://gachi3.com/nex/e/ 日本のドメイン DIGIROCKのxreaサーバで運営されている。 gachi3.com = s341.xrea.com -------------------------------- Name: gachi3.com Address: 59.139.29.97 -------------------------------- □ spamメール/迷惑メールの主な報告先 迷惑メール等を受け取った際の申し立ては、下記のサイト等へ。 ------------------------------------------------------------- 日本データ通信協会 - 違反メールの情報提供ページ http://www.dekyo.or.jp/soudan/ihan/ 日本産業協会 - 迷惑メール情報提供受付ページ http://www.nissankyo.or.jp/spam/display.html
追記 :差出人や中に書いてあるURLが同じspamメールが、また届きました。 送信元IPが 59.39.25.144 になっているので、同地域から発信されていますが 前回とは異なってます。IPを変えながら送信している業者のようです。
追記2 :最近は「"◆SWEETS@" <lldo_0dodd@livedoor.com>」名義で「http://www.eobue.com/sweets」に 誘導するspamや「"◆メルチャ@" <lldo_0dodd@livedoor.com>」名義で「http://wondlan.com/mercha」に 誘導するspamを何通か送ってきています。 これらは全て、悪名高い163data.com.cnからspamメールとして送信されており メール中のリンクで中国や香港やシンガポールのドメインに転送させ、最終的に 「出会いの浪漫飛行」(www.deaerunara.com)にフォーム送信をさせる形のspamで、以下のものと同一業者です。
追記3 :2008/10にメールがまたやってきました。「"伊集院" < dfgdfgr_ii@livedoor.com >」名義で 「恋庭園」なるサイト「 http://drmarrow.com/teien 」に誘導するspamメールを受信。 送信元はlivedoor.comを装っていますが 実際のIPは59.39.18.184=184.18.39.59.broad.fs.gd.dynamic.163data.com.cnで 相変わらず163data.com.cnからのもの。 このspam誘導サイトは中国の転送ドメインで、香港にある実体サイト「 http://rap-ture.net/teien/ 」 に転送される。 このサイトの送信フォームは過去と同様に、「出会いスペース」の dimg.be に送信する内容になっている。 しかし、最近のこれ関連のspam誘導サイトは作りが手抜きになってるなぁ。
追記4 :2008/10/21に同一の業者から新パターンのspam受信。 「"果花" < mildew96333@redirectme.net >」名義で「http://kindmode.com/ekoi」に 誘導するメールを受信。 redirectme.netはDNS・メールサービスを行っているno-ip.comで取得できるフリードメイン。 本来の送信元は116.1.77.111で中国の広西のchinanetプロバイダからのもの。 誘導されるspamサイトは「e恋.com」なるサイトで http://kindmode.com/ekoi (中国)→ http://rap-ture.net/ekoi/ (香港)に ドメイン転送されるパターン。 spamサイトのiframe中に、フォーム送信先としてお決まりのdeaerunara.comが記述されており 同一の業者であることが確定。 また、従来は2007/12を装った不正な日付で送信されていたが、今回は送信元プロバイダが 変わったせいか、ほぼ正常な時刻で送信してきていた。
追記5:2008/10/31 にアルゼンチン偽装パターンでのspamを受信。 アルゼンチンから、メールのReceivedヘッダをくだらない偽装をして送ってくるパターン。 182.64.231.148はIANAの未割り当てアドレスで、使用されていないアドレス。 ------------------------------------------------------------ Received: from 88-83-19-190.fibertel.com.ar (190.19.83.88 [190.19.83.88]) by sbmx8 (SpamBlock.ps 3.4.100) with ESMTP idfor ; Fri, 31 Oct 2008 15:24:05 +0900 Received: from 182.64.231.148 by 190.19.83.88; Fri, 31 Oct 2008 10:18:57 +0300 ------------------------------------------------------------ メールの差出人は「xgvqqgr@8848.net」を名乗っており、ヘッダ中にmyrice.comなどが 含まれているので、実行しているのは中国人か、中国に詳しい日本人だと思われる。 spam誘導先は、中国の転送ドメインから香港のサイトに転送するいつものパターン。 「http://www.zavcompany.com/wsxfree」→「http://rap-ture.net/wsxfree/」 で、おきまりのdeaerunara.comにフォーム内容を転送させるパターン。 rap-ture.netは「恋庭園」や「e恋.com」でも利用されたspamドメイン。
追記6 :2008/12/10前後に、同様の内容でロシア/インドネシアからの 偽装パターンでのスパムメールを受信。下記のFromアドレスからの もので、どれも「FUN設計図企画案内人」なるものを名乗っている。 ---------------------------------------------------------- "FUN設計図企画案内人" <sazhvlbxrjy@hanmer.com> "FUN設計図企画案内人" <usgetofnhvyei@mailasia.com> "FUN設計図企画案内人" <bbggcr@nakaya-saw.com> ---------------------------------------------------------- これらのメールに記述されているリンク先は中国の転送ドメインで 香港のサイト「FUN設計図」に飛ばされる。 http://www.svnwish.com/fun (58.59.176.27:中国) → http://keeponu.net/fun/ (202.67.215.164:香港) ちなみに、keeponu.netドメイン登録は日本のvaluedomain名義に なっている。いつものパターンだね。 Googleで「site:keeponu.net」と入力して調べると、 同一ドメインで運営している「ツマトモ」や「FUN設計図」や「瞬間」や 「BODYLOVE」や「D-LOVE」といった関連spamサイトが見つかる。 これらのサイトで入力したデータは、お決まりの香港のサイトである 「dimg.be」に転送される。
追記6 :2008/1/12前後に、同様の内容で中国/スロバキア/グアテマラからの 偽装パターンでのスパムメールを受信。「瞬間」なるspamサイトへの 誘導を試みるスパムメールで、いつも通り中国の転送サイトから 香港のサイトへ転送される。 http://www.destiniai.com/shunkan (58.59.176.27:中国) → http://keeponu.net/shunkan/ (202.67.215.164:香港) これらのサイトで入力したデータは、今までと同様に お決まりの香港のサイトである「dimg.be」に転送される。
追記7: 1/29ごろに再び恋庭園から、中国発のメールがやってきました。 差出人は有名な「伊集院」名義のものです。 メール中のリンクは、従来と同様のパターンで 中国の転送サイトから、香港のサイトに転送される仕組み。 http://www.remenb.com/teien (58.59.176.27:中国) → http://keeponu.net/teien/ (202.67.215.164:香港) これらのサイトで入力したデータは、相も変わらず香港のサイトである 「dimg.be」に転送されます。
追記8: 2/15ごろに「人妻のお誘い」代表 石山ひろ美を名乗る ドイツ、韓国、サウジアラビアから発信されたメールが複数やってきました。 従来と同様、中国の転送サイトから、香港のサイトに転送されます。 http://www.nxtdoors.com/sa-so-i (58.59.176.27:中国) → http://keeponu.net/sa-so-i/ (202.67.215.164:香港) このサイトの入力データも、同じく「dimg.be」に転送されます。
追記9: 3/9ごろに「サイトSEND ONE」を名乗るベトナム発のメールがやってきました。 従来と同様、中国の転送サイトから、香港のサイトに転送されます。 http://www.hpytime.com/sendone (58.59.176.27:中国) → http://keeponu.net/teien/ (202.67.215.164:香港) このサイトの入力データも、同じく「dimg.be」に転送されます。 keeponu.netのドメイン所有者は、横浜市青葉区在住になってますが 存在しない地番なので、おそらく偽情報でしょう。 連絡先はx0.comで、さくらインターネット + Valuedomainの定番コンボ。
追記10: 3/26ごろに「事務局: 吉田みさ」を名乗るプエルトリコ発のメールがやってきました。 従来と同様、中国の転送サイトから、香港のサイトに転送されます。 http://paradisog.com/spring (58.59.176.27:中国) → http://keeponu.net/spring/ (202.67.215.164:香港) このサイトの入力データも、同じく「dimg.be」に転送されます。 そろそろ手法が代わり映えしなくなってますね..。
追記11: 6/4ごろに「完全無料 ご近所プレミアム 担当:吉沢みき」を 名乗るメールが、いつもの1163data.com.cnからやってきました。 例によって、中国の転送サイトから、香港のサイトに転送されます。 http://www.ecoexps.com/premium (219.159.104.85 :中国) → http://keeponu.net/premium/ (202.67.215.164:香港) keeponu.netで入力したデータは、"出会いスペース"の「dsp01.com」 に転送されます。いつも通り同じところがspamを送ってきてますね。