最近smashなんたらとかいう迷惑メールが大量に送られてくるようになりました。
初めて届いた時に削除を押そうとしたんですが、ドコモのメールアプリの動作が遅くて削除ボタンとメール本文の画面がすり替わってURLを踏んでしまったのが最後、URLにハッシュがついていてメールアドレスが有効であると判断されてしまったようです。
とりあえず、ドコモのメールの設定でフィルタリング強にしたところピタリと届かなくなりましたが、URLを含む通常のメールも見れなくなりました。
まあそれは仕方ないとして、smashとかいう迷惑メールについて調べてみました
複数のドメインからの送信
この手のスパムメールで厄介なところが、複数のドメインからメールを送ってくるところです。
一つずつドメインを拒否したところで、相手はいくつものドメインで送ってくるのでイタチごっこです。逆引きのIPでフィルタリングができればいいんですけど、ドコモは対応していません。
以下は今まで受信した一部の迷惑メールのアドレスです。
hsjshgsjs.mail.990719@guaranteeluxurious.jp.net return-mail-990649@atmosphereemployee.co return-maga-11170@wireaware.jp.net mnsdeu.mail.990631@publishstrike.net return-mail-990540@ordinaryfully.co kloik.mail.990542@smash5858.jp keihedhyer.mail.990454@manesolitude.jp eehaeyoeij.mail.990368@mostlyinfluence.com oegtekea.mail.990285@anxiouswire.net return-mail-989835@raisestruggle.net heheass.mail.990201@activitydisaster.biz lksjshsghs.mail.990098@receivesupport.biz bnshdhjd.mail.990043@ordinaryfully.co cjsgs.mail.989889@perfreeze.com return-mail-989760@propersurface.com return-mail-989418@i-smashmail874.jp return-maga-11168@polishshot.net return-maga-11167@guaranteeluxurious.jp.net return-mail-989075@strengthwitness.net return-maga-11166@additionalrange.net keihedhyer.mail.988836@authorityexactly.co eehaeyoeij.mail.988698@aiddiscussion.biz return-mail-987318@practicalbrake.org ldkkjdhfhjd.mail.987275@advantagediscipline.biz yjuxdnshs.mail.981402@actiondiet.net psths.mail.980991@programspread.com tsafa.mail.980701@principalupset.jp.net sertf.mail.980373@feedhunt.biz aeehaee.mail.980256@publishstrike.net ageayehyera.mail.980088@reformroast.biz ehraae.mail.980086@brushelectricity.com heheass.mail.980068@brilliantboil.net mnsyu.mail.980031@lossskill.net ghstyju.mail.979928@guaranteeluxurious.jp.net uyjhuy.mail.979857@providestick.co return-maga-11134@globalsection.biz return-maga-11132@desertfinance.co rtsfgs.mail.979839@advantagediscipline.biz artfs.mail.979819@worrydevice.net tysdgs.mail.979767@guaranteeluxurious.jp.net rtgsf.mail.979747@receivesupport.biz herhyrya.mail.979678@wastedelight.com herhyrya.mail.979509@gripedope.jp eperekgek.mail.979406@jeopardizeannual.biz jmdbdfhs.mail.979061@actiondiet.net opopshshs.mail.979025@earthquakeexciting.com ldjddbdghd.mail.978938@protectstay.com nbxvcgjs.mail.978645@floatpour.me tyhgt.mail.978455@approvedelivery.com gtsrsy.mail.978215@publishstrike.net kloik.mail.977736@smash4757.jp kmdakui@optionbrand-new.jpn.com
実はこれらほとんどが同一のIPアドレス・サービスを利用しています。whoisとDNSの逆引きを見てみると
Domain Name: JEOPARDIZEANNUAL.BIZ Domain ID: D59425421-BIZ Sponsoring Registrar: GMO INTERNET, INC. D/B/A ONAMAE.COM Sponsoring Registrar IANA ID: 49 Registrar URL (registration services): whois.discount-domain.com Domain Status: ok Registrant ID: BIZ-144BB17911A Registrant Name: Takashi Utada Registrant Organization: Personal Registrant Address1: Yutaka-machi Oo-chou Registrant City: Kure-shi Registrant State/Province: Hiroshima Registrant Postal Code: 734-0301 Registrant Country: Japan Registrant Country Code: JP Registrant Phone Number: +81.0377575857 Registrant Facsimile Number: +81.0377575857 Registrant Email: ersrtstsea@yahoo.co.jp Administrative Contact ID: BIZ-144BB17931A Administrative Contact Name: Takashi Utada Administrative Contact Organization: Personal Administrative Contact Address1: Yutaka-machi Oo-chou Administrative Contact City: Kure-shi Administrative Contact State/Province: Hiroshima Administrative Contact Postal Code: 734-0301 Administrative Contact Country: Japan Administrative Contact Country Code: JP Administrative Contact Phone Number: +81.0377575857 Administrative Contact Facsimile Number: +81.0377575857 Administrative Contact Email: ersrtstsea@yahoo.co.jp Billing Contact ID: ABC328F5386 Billing Contact Name: Takashi Utada Billing Contact Organization: Personal Billing Contact Address1: Yutaka-machi Oo-chou Billing Contact City: Kure-shi Billing Contact State/Province: Hiroshima Billing Contact Postal Code: 734-0301 Billing Contact Country: Japan Billing Contact Country Code: JP Billing Contact Phone Number: +81.0377575857 Billing Contact Facsimile Number: +81.0377575857 Billing Contact Email: ersrtstsea@yahoo.co.jp Technical Contact ID: BIZ-144BB1794EE Technical Contact Name: Takashi Utada Technical Contact Organization: Personal Technical Contact Address1: Yutaka-machi Oo-chou Technical Contact City: Kure-shi Technical Contact State/Province: Hiroshima Technical Contact Postal Code: 734-0301 Technical Contact Country: Japan Technical Contact Country Code: JP Technical Contact Phone Number: +81.0377575857 Technical Contact Facsimile Number: +81.0377575857 Technical Contact Email: ersrtstsea@yahoo.co.jp Name Server: NS1.VALUE-DOMAIN.COM Name Server: NS2.VALUE-DOMAIN.COM Created by Registrar: GMO INTERNET, INC. D/B/A ONAMAE.COM Domain Registration Date: Thu Mar 13 10:58:10 GMT 2014 Domain Expiration Date: Thu Mar 12 23:59:59 GMT 2015 DNSSEC: false
JEOPARDIZEANNUAL.BIZ has address 61.63.83.88
88.83.63.61.in-addr.arpa domain name pointer 61-63-83-host88.kbtelecom.net.tw.
ほとんどがkbtelecom.net.twという台湾のレンタルサーバを利用しており、ドメイン登録はGMOのお名前.com。登録情報にはいくつかの名と存在しない住所を使っていました。連絡先メールアドレスは全てyahooメールです。これら共通点からして、同一人物の仕業でしょう。
しかしお名前.comはザルですね。
メール本文のテンプレ
[タイトル] タイトル文といかがわしい文章 メール内容「確認」返信↓ http://mbl.ドメイン/racepbox/*.php?uk=乱数 ▼BOX一覧(無料)▼ http://mbl.ドメイン/racepbox/*.php?uk=乱数 (上と同様) ---------- ■このメールは会員登録されたお客様へ送りしています。何か御座いました場合は、些細な事でもお気軽にサイト内にてお問い合わせください。 I八サイ以下の使用はご遠慮ください
「些細な事でもお気軽にサイト内にてお問い合わせください」とURLを踏ませる気満々ですね。それに「お客様へ送りしています」「I八サイ以下の使用」の部分から日本語に疎い様子が伺えます。
もう既に一度踏んでしまっているのでアクセスして何処に飛ばされるのか調べてみました。
メールに貼られたリンクの先は
http://www.s-smashmail.com/(台湾のレンサバ)の受信BOXページに飛ばされました。メッセージをざっと見ると明らかに男がかいたんじゃねーのって文章がちらほらあります。文章もワンパターンです。「ネガティブな身の回りの事→性癖暴露→もし良かったら」
おまけに添付画像をgoogle検索にかけてみるといくつかヒットしました。使われている画像の一部は何処かのSNSやブログからの拾い物のようです。
特商法のページを見てみると、色々とデタラメ書いてあります。
役務提供事業者 BARE N BEAR COMMUNICATION SDN. BHD. 所在地 NO.40, JALAN BU 1/4,BDR UTAMA DAMANSARA,47800 PETALING JAYA,SELANGOR D. E.MALAYSIA, 運営責任者 ALAN LAW BOON KIAN 役務の内容 WEB上での会員同士におけるコミュニティ場の運営。 役務の対価 料金表にてご確認下さい。 対価の支払方法 銀行振込、電子マネー決済、クレジットカード決済・後払い決済 商品引渡し時期 ポイント購入時 役務提供後における返金の可否 サービス提供形態の特性上、役務提供後の返金には応じられません。 ※当サービスには特定商取引法上のクーリング・オフが適用されません。 役務の提供条件 インターネット経由でサービスを提供致します 連絡方法 tel : +60166079610 mail : info@s-smashmail.com ・お問い合わせはmailにて受け付けております。 ・受付 24時間 対応 10:00〜20:00 ・お問い合わせから回答までの時間:最大24時間 ・電話でのお問い合わせは応じかねます。
BARE N BEAR COMMUNICATION SDN. BHD.は実在しません。
電話番号にマレーシアの国コードがついています。挙句の果てに「お電話でのお問い合せは応じかねます」ですって。
ソースを見てみる
HTMLの終了タグの後に実行されたSQL文のデバッグが表示されてます。面白いですね。
</body> </html> <!-- SELECT id FROM page WHERE logic_name = 'menu' AND is_after = '0' AND term = '1' LIMIT 1 [SEC : 0] --> <!-- SELECT pre_regist_key,page_id FROM before_page_access_log WHERE pre_regist_key = '58a284e45448f026de991' ORDER BY id DESC LIMIT 1 [SEC : 0] --> <!-- INSERT INTO before_page_access_log SET pre_regist_key = '58a284e45448f026de991',media_cd = 'non_media',page_id = '94',term = '1',ip_address = '',insert_datetime = '2014-10-23 21:10:14' [SEC : 0 ] [EXEC COUNT : 1] --> <!-- SELECT SQL_CALC_FOUND_ROWS * FROM setting WHERE group_cd = '1' AND disable = '0' [SEC : 0] --> <!-- SELECT FOUND_ROWS() AS count [SEC : 0] -->
何らかのCMSで構築されたサイトなんでしょうかね。URLにも注目してみますと、必ず「?mc=non_media&」が付きます。「?mc=non_media&sc=ページ番号」というリクエストでページ情報を呼び出すSQLを実行して表示しているようです。
これと同じシステムでできたサイトがあるかググってみる
独自開発のCMSだとしたら同系統の怪しいサイトを列挙できるかもしれません。「inurl:mc=non_media」この検索クエリで上記URLが含まれるサイトを列挙してみました。
- www.golden-gt.net
- www.wakuwakusan.net
- smp.b-b-beach.jp
- www.partner-japan.co
- www.try-try.net
やはりどれも出会い系サイトです。サーバーも同じく台湾のレンサバでドメインはお名前.comのものでした。ネームベースのバーチャルホストでコンテンツを振り分けているようです。
怪しいメールが来ても興味本位でタップしないことですね。あと重いメーラーの扱いは慎重に...
- 関連記事
-
-
マルシン ベレッタM92F 画像
2014/12/08
-
第1909回「過去に戻れるならやり直したいことは?」
2014/12/05
-
SMASHとかいう迷惑メールとサイトを調べてみた
2014/10/23
-
ニコニコ動画でよく見るeco=1の意味
2014/09/30
-
内視鏡検査行ってきた 糞記事
2014/09/05
-
