|
|
検索
カテゴリ
以前の記事
その他のジャンル
ファン
記事ランキング
ブログジャンル
画像一覧
|
|
山田です。
スパムメールの解析料理8話目です。
前回と同様に、解析料理と通報と回答の一部を紹介します。解析料理の基本は「かやのメール」で説明していますので、まずこれを熟読しておいて下さい。
今回は「高額所得メール」で、9月19日・10月6日に受信したスパムメールです。どちらもプロバイダに通報しましたが、しり切れトンボのパターンです。
解析料理の料理人は、私のマスコットが担当します。
彼の名前はスパァーム(Spaham)君です。
--
「スパァーム君の紹介」
スパァーム君は、スパムメールが大嫌いです。何故なら、大好きなメル友のスパ子ちゃんのメールがスパムに埋もれてしまうからです。おまけに時々ウィルスメールにも感染し、寝込むこともありました。何と彼の1日のスパム数は軽く数百通を超えていたのです。そして数ヶ月間の猛勉強のおかげで、彼はスパムメールの解析ができるレベルに達したのです!
--
「解析料理:高額所得メール」
スパァームです。過去の解析料理法ご覧になっていただけましたか?ちょっとヘッダの解析が難しかったかもしれませんが、慣れればすぐにどこが送信元だか特定できるようになります。
さて、今回は「高額所得メール」を解析料理しちゃいましょう。
*** ヘッダを見る
ASLさんのプロバイダはIIJ4U、.Macに個人と仕事用のメールアドレスを持っています。.Macのウェブメールは使わずにIIJ4Uのメールアカウントに転送しています。今回の例では「スパム業者 -> *****@mac.com -> %%%%%@ss.iij4u.or.jp」という経路でメールが送られています。
「高額所得メール」をファイルとして保存して、それを適当なエディタで開いてみましょう。
(ラップして読みづらい場合は、エディタにコピーしてご覧下さい)
%%%%%: ASLの IIJ4U ID
*****: ASLの .Mac ID
- 「高額所得メール」
X-UIDL: 1095536467.01559.bb1121966835a66
X-Mozilla-Status: 1001
X-Mozilla-Status2: 00000000
Return-Path:
Received: from mdi03.iij4u.or.jp (mdi03.iij4u.or.jp [210.130.0.161])
by m-ss.iij4u.or.jp (8.8.8/PM01) with ESMTP id EAA01557
for <%%%%%@ss.iij4u.or.jp>; Sun, 19 Sep 2004 04:41:06 +0900 (JST)
Received: MDI(mdi03) id i8IJf2fT017818; Sun, 19 Sep 2004 04:41:02 +0900 (JST)
Received: MI(mi14) from smtpout.mac.com (smtpout.mac.com [17.250.248.83])
for <%%%%%@ss.iij4u.or.jp> id i8IJf1DK085615; Sun, 19 Sep 2004 04:41:01 +0900 (JST)
Received: from mail42-ce1 (mail42-ce1 [10.13.9.42])
by smtpout.mac.com (8.12.6/MantshX 2.0) with ESMTP id i8IJf1rU029876
for <%%%%%@ss.iij4u.or.jp>; Sat, 18 Sep 2004 12:41:01 -0700 (PDT)
Received: from mac.com (smtpin15-en2 [10.13.11.243])
by ms42.mac.com (iPlanet Messaging Server 5.2 Patch 2 (built Jul 14 2004))
with ESMTP id <0I49000ZH5CDNF@ms42.mac.com> for %%%%%@ss.iij4u.or.jp
(ORCPT *****@mac.com); Sat, 18 Sep 2004 12:41:01 -0700 (PDT)
Received: from A-19 ([61.117.170.2]) by mac.com (Xserve/smtpin15/MantshX 4.0)
with SMTP id i8IJepef003635 for *****@mac.com; Sat,
18 Sep 2004 12:41:00 -0700 (PDT)
Date: Sat, 18 Sep 2004 12:41:00 -0700 (PDT)
From: 情報屋
Subject: 高額所得の秘密情報
To: <*****@mac.com>
Message-id: <200409181941.i8IJepef003635@mac.com>
MIME-version: 1.0
Content-type: text/plain; charset=iso-2022-jp
Content-transfer-encoding: 8BIT
初めまして。突然メールで失礼します。ビジネス情報のご案内です。
今回のみの連絡になります。不要の場合は削除してください。
メールさえできる人なら誰でもお金持ちになれます。
現在ネットビジネスで成功している方々が秘密にしている情報を
CD-Rにまとめました。興味のある方はぜひ購入してください。
特別価格でたったの15000円です。ばら売りで集めると相当高額
な金額になってしまう内容です。
【収録内容】データ量283MB
01.メールアドレスデータ(ドコモ100万件/PC500万件)
02.掲示板URL(2万件)
03.ダイレクトメール配信ソフト(5本)
04.メールアドレス収集ソフト(5本)
05.掲示板自動書き込みソフト(1本)
06.高額報酬医療アルバイト情報
07.高額融資情報
08.芸能人名簿秘密情報
09.名簿取扱い業者情報
10.全国ネットワーカー名簿
11.厳選サイドビジネス情報(100件)
12.丸秘情報
13.その他おまけ情報
★購入後すぐに貴方のビジネスを始められます。
すでにネットビジネスや情報販売をされている方でもお役に立てる
お得情報満載です。情報をどう活かすかは貴方しだい。
この情報で高額所得は実現可能です。ご注文お待ちしています。
【注文連絡先】himituzyouhou@yahoo.co.jp
-
典型的なスパムメールの例だね。スパムが1回だけだからと言って見逃す事はないよ。そもそも、同じ文章を10月6日に送ってきてるよね。しかし、まあ毎回 yahoo.co.jpのメアドだね。スパムの巣と化してるね。
孫さん、何とかしてよ。
-
ヘッダの見方は
ああスパム.5「解析料理:かやのメール」
http://mixi.jp/view_diary.pl?id=1864384
の「*** ヘッダを見る」をご覧下さい。
さて、今回も Received:ヘッダの "by mac.com"に注目しましょう。
Received: from A-19 ([61.117.170.2]) by mac.com (Xserve/smtpin15/MantshX 4.0)
with SMTP id i8IJepef003635 for *****@mac.com; Sat,
18 Sep 2004 12:41:00 -0700 (PDT)
DNS名は不明、IPアドレスは 61.117.170.2です。ターミナルを起動して hostコマンドで調べてみましょう。
% host 61.117.170.2
Host 2.170.117.61.in-addr.arpa not found: 3(NXDOMAIN)
リバースDNSは引けないようです。whoisで調べてみましょう。
% whois 61.117.170.2
...
inetnum: 61.117.170.0 - 61.117.170.63
netname: COSMO-BAGUS
descr: Cosmo Trading Co., Ltd.
country: JP
admin-c: HC312JP
tech-c: HC312JP
...
ついでにJP−NIC http://www.nic.ad.jp/にアクセスして「■WHOISによる検索」の下にある入力フィールドにIPアドレス 61.117.170.2 を入力して、検索ボタンをクリックします。
株式会社コスモ通商 (Cosmo Trading Co., Ltd.)
COSMO-BAGUS [61.117.170.0 <-> 61.117.170.63] 61.117.170.0/26
株式会社パワードコム (POWEREDCOM,Inc.)
SUBA-347-B98 [サブアロケーション] 61.117.170.0
上記のようにプロバイダ(今回の場合は、パワードコム)が上位にいる場合は、プロバイダに通報します。
-
Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 61.117.170.0
b. [ネットワーク名] SUBA-347-B98
f. [組織名] 株式会社パワードコム
g. [Organization] POWEREDCOM,Inc.
m. [運用責任者] MK10551JP
n. [技術連絡担当者] HN088JP
p. [ネームサーバ] ns05.pwd.ne.jp
p. [ネームサーバ] ns06.pwd.ne.jp
p. [ネームサーバ] ns07.pwd.ne.jp
y. [通知アドレス] jpnic@pwd.ad.jp
[割当年月日] 2004/06/04
[返却年月日]
[最終更新] 2004/06/04 14:12:11 (JST)
ip-alloc@nic.ad.jp
-
「株式会社パワードコム」が 61.117.170.2を管理していることがわかりました。会社名で googleサーチし、レポートします。
詳細は
ああスパム.5「解析料理:かやのメール」
http://mixi.jp/view_diary.pl?id=1864384
の「*** プロバイダに通報する 」をご覧下さい。
!!!
ここで気をつけていただきたい点は、ごく一部のスパム業者はプロバイダとして登録している場合があります。見分け方として、聞いたことのないプロバイダ名・登録IPアドレス範囲がとても少ない(1000以下)場合などです。この場合は、プロバイダ <-> スパム業者の個人情報のアイソレーションができませんので、通報すべきではありません。巨大プロバイダの場合のみ通報しましょう。
!!!
以下、プロバイダからの回答です。
「Powered Internet[POINT]コールセンター
テクニカルサポート担当の**でございます。
下記メールにてのご連絡、まことにありがとうございます。
ご申告の件につきまして、ご提供いただきましたメールの
ヘッダ情報から送信に利用されているIPアドレスを調査いたし
ましたところ、送信元のIPアドレスは株式会社パワードコムの
管理下にあるIPアドレスではありましたが、POINTの使用する
IPアドレスではございませんでした。
このため、本件につきましては、担当部署へ対応を行うよう
手配いたしましたことをご報告させていただきます。
恐縮ではございますが、対応結果などにつきましては、担当の
部署より改めてご連絡差し上げることとなりますので、今しばらく
お待ちいただけますでしょうか。
以上、よろしくお願い申し上げます。」
この回答から1ヶ月半たちましたが、その後のメールは届きませんでした。10月6日に届いたメールは、(abuse@アカウントがないため)JP−NICで調べた運用責任者・技術連絡担当者宛に送りましたが、まったく回答はありませんでした。
インターネットで調べたところ、IPアドレス所有者はインターネットカフェ運営会社のようでした。カフェ利用者がスパム発信に悪用したと思われます。ここでもユーザの認証問題が起こっています。
-
これで、メル友のスパ子ちゃんとのメールの邪魔をしていたスパムメールの8つ目を解析料理しちゃいました。慣れてくれば、結構簡単に通報できることがわかっちゃいました。
皆さんもしぶとく送り続けてくるスパムメールのヘッダを解析して、日本国内から発信されていたら通報しちゃいましょう!
スパァームより
--
今回のスパァーム君の解析料理はいかがでしたか?
では、次回の彼の活躍をお楽しみに。
hiroo
|
|
|