2013/02/02

【ヤマなしオチなし】迷惑メールに腹が立ってやった、後悔はしていない。【意味深長】

 2013年2月1日。朝起きると、携帯電話(といってもWILLCOM PHSなアドエスですが、面倒なので以下携帯と記述)にメールが届いていました。送信時刻は同日午前3時31分。ずいぶんと早い時間です。私寝てました。
 そしてこのメール、どうにも奇妙なのです。
 なぜかって? タイトルに「無題」と入ったっきり、本文が書かれていないのです。
本当に不気味。

 送信元である"info@sslastcrop.net"でGoogle検索をかけると、出るわ出るわ。迷惑メールの送信元で、それなりに名の知れているアドレスのようです。
 しかも、このメールを皮切りに、何通もの迷惑メールが送りつけられるようになるというのです。たぶん、一旦試しに送信してみて、MAILER-DAEMONからの返信を受け取るとリストから除外する仕組みになっているのでしょう。
 そしてこのメール、個人情報垂れ流しツールとして有名なLINE(NHN Japan)からの個人情報を使っているようなのです。
 確かに言われてみればそうです。私が携帯のアドレスを登録しているインターネットサービスはありません。mi●iなんていうクソインフラは使っていないし、facebookはGMailとmyoperaのアドレスだけだし、TwitterももちろんGMail。どこから私の携帯のアドレスが漏れたかといえば、"私以外から私のメールアドレスが流出しうる環境"、すなわち、私のアドレスを登録している知人から、LINE経由で流れたとしか考えようがありません。

 あまりにもイラッときたので、いろいろとこのメールについて探ってみることにしました。
「いやいやちょっと待てよ、"info@sslastcrop.net"っていうアドレスだけじゃ手掛かり足りなくない?」と思った方もいるかもしれません。。
 ですが実は私の使っている携帯、「アドエス」ことWS011SHのメーラーには、メールのヘッダ情報表示機能があるのです。コピー&ペーストまで出来ちゃうから便利なのよね。
 というわけで、以下にそのコピー&ペーストしたヘッダを示します(私のメールアドレスは******で示してあります)。




Received: from ms-rmt01-g.dav.pdx.ne.jp (ms-rmt01 [10.214.102.69])
 by ms-imt11-g.dav.pdx.ne.jp (Postfix) with ESMTP id 569202C8002
 for <******@willcom.com>; Fri,  1 Feb 2013 03:37:41 +0900 (JST)
Received: from ms-isf05.pdx.ne.jp (unknown [10.214.101.157])
 by ms-rmt01-g.dav.pdx.ne.jp (Postfix) with ESMTP id 51F971D010D
 for <******@willcom.com>; Fri,  1 Feb 2013 03:37:41 +0900 (JST)
Received: from [103.246.194.7] ([103.246.194.7]) 
          by ms-isf05.pdx.ne.jp ([10.214.101.157]) 
          with ESMTP id 1359657459.373215.127183760.ms-isf05
          for <******@willcom.com>; 
          Fri, 01 Feb 2013 03:37:39 +0900 (JST) 
Received: from r-fire.net (unknown [192.168.3.31])
 by mta-a.isonmx.com (Postfix) with ESMTP id 9AF0E80FF5
 for <******@willcom.com>; Fri,  1 Feb 2013 03:37:19 +0900 (JST)
Received: from send.info77yum4rex.net (192.168.3.167:48956)
 by r-fire.net with [XMail 1.20 ESMTP Server]
 id  for <******@willcom.com> from ;
 Fri, 1 Feb 2013 03:38:33 +0900
Received: by send.info77yum4rex.net (Postfix, from userid 3007)
 id B4478880DE9; Fri,  1 Feb 2013 03:31:57 +0900 (JST)
To: ******@willcom.com
Subject: =?ISO-2022-JP?B?GyRCTDVCahsoQg==?=
X-TERRACE-DUMMYSUBJECT: Terrace Spam system                                  *
From: info@sslastcrop.net
X-Mailer: Internet-Mail-Client(1.2.3)
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-2022-jp"
Content-Transfer-Encoding: 7bit
Message-Id: <20130131183157 .b4478880de9="" send.info77yum4rex.net="">
Date: Fri,  1 Feb 2013 03:31:57 +0900 (JST)
X-TERRACE-SPAMMARK: NOT spam-marked.                              
  (by Terrace)                                            
以上がヘッダの全貌です。どうやら何度か転送を経て、私の携帯へ送られてきたようです。いくつかのドメイン名が見当たりますね。
 いろいろとサイトを見てみましたが、当該メールのヘッダーが掲出された例はありませんでした。なかなかおもしろいものを公開した気がします。

 さて、ではまずメールの送信元として記載されているsslastcrop.netについてのWHOISを見てみましょう。whois検索( http://cc3.org/whois/ )を用いて確認してみると、以下のとおりでした。



Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

   Domain Name: SSLASTCROP.NET
   Registrar: MELBOURNE IT, LTD. D/B/A INTERNET NAMES WORLDWIDE
   Whois Server: whois.melbourneit.com
   Referral URL: http://www.melbourneit.com
   Name Server: NS.UKSERVERS.NET
   Name Server: NS1.UKSERVERS.NET
   Name Server: NS3.UKSERVERS.NET
   Status: clientTransferProhibited
   Updated Date: 31-oct-2012
   Creation Date: 28-oct-2012
   Expiration Date: 28-oct-2013

(中略)

Domain Name.......... sslastcrop.net
  Creation Date........ 2012-10-28
  Registration Date.... 2012-10-28
  Expiry Date.......... 2013-10-28
  Tracking Number...... 1755334635_DOMAIN_NET-VRSN
  Organisation Name.... Mike Donald
  Organisation Address. 5500 Campanile Drive
  Organisation Address. 
  Organisation Address. 
  Organisation Address. San Diego
  Organisation Address. 92182
  Organisation Address. CA
  Organisation Address. UNITED STATES

Admin Name........... Mike Donald
  Admin Address........ 5500 Campanile Drive
  Admin Address........ 
  Admin Address........ 
  Admin Address. San Diego
  Admin Address........ 92182
  Admin Address........ CA
  Admin Address........ UNITED STATES
  Admin Email.......... mac-donald77@inbox.com
  Admin Phone.......... 0724760999
  Admin Fax............ 

Tech Name............ Domain Administrator
  Tech Address......... PO Box 34
  Tech Address......... 
  Tech Address......... 
  Tech Address......... Merriott
  Tech Address......... TA16 5YZ
  Tech Address......... Somerset
  Tech Address......... UNITED KINGDOM
  Tech Email........... hostmaster@ukservers.net
  Tech Phone........... +44.8701651416
  Tech Fax............. +44.8704780791
  Name Server.......... ns.ukservers.net
  Name Server.......... ns3.ukservers.net
  Name Server.......... ns1.ukservers.net
あーこいつAdmin Emailにフリーメール使っていやがる。こりゃ悪意見え見えだよ……。

 次は、受信者(私)に近いドメインから、WHOIS情報を順に見ていきましょう。最初の二つのReceivedのfromは、どちらもWILLCOMのメールサーバですので今回は無視します。
 以下にその結果を示します。WILLCOMメールサーバを除いて受信者(私)に一番近いアドレスは、IPアドレス「103.246.194.7」ですが、これは後に示すisonmx.comのサブドメイン「mta-a.isonmx.com」に関連付けられていましたので、まずはisonmx.comから探ってみましょう。




Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

   Domain Name: ISONMX.COM
   Registrar: GMO INTERNET, INC. DBA ONAMAE.COM
   Whois Server: whois.discount-domain.com
   Referral URL: http://www.onamae.com
   Name Server: NS01.GREEDNS.NET
   Name Server: NS02.GREEDNS.NET
   Name Server: NS03.GREEDNS.NET
   Status: ok
   Updated Date: 28-nov-2012
   Creation Date: 21-jun-2012
   Expiration Date: 21-jun-2014

(中略)

Domain Handle: None
Domain Name: isonmx.com
Created On: 2012-06-22 01:37:23.0
Last Updated On: 2012-11-29 12:00:54.0
Expiration Date: 2014-06-22 01:37:23.0
Status: ACTIVE
Registrant Name: yuta watanabe
Registrant Organization: erg inc
Registrant Street1: 2-6-3 Nishigotanda
Registrant Street2: 
Registrant City: Shinagawa-ku
Registrant State: Tokyo
Registrant Postal Code: 1410031
Registrant Country: JP
Registrant Phone: 81-3-5575-7699
Registrant Fax: 
Registrant Email: w@erg.io
Admin Name: yuta watanabe
Admin Organization: erg inc
Admin Street1: 2-6-3 Nishigotanda
Admin Street2: 
Admin City: Shinagawa-ku
Admin State: Tokyo
Admin Postal Code: 1410031
Admin Country: JP
Admin Phone: 81-3-5575-7699
Admin Fax: 
Admin Email: w@erg.io
Billing Name: yuta watanabe
Billing Organization: erg inc
Billing Street1: 2-6-3 Nishigotanda
Billing Street2: 
Billing City: Shinagawa-ku
Billing State: Tokyo
Billing Postal Code: 1410031
Billing Country: JP
Billing Phone: 81-3-5575-7699
Billing Fax: 
Billing Email: w@erg.io
Tech Name: yuta watanabe
Tech Organization: erg inc
Tech Street1: 2-6-3 Nishigotanda
Tech Street2: 
Tech City: Shinagawa-ku
Tech State: Tokyo
Tech Postal Code: 1410031
Tech Country: JP
Tech Phone: 81-3-5575-7699
Tech Fax: 
Tech Email: w@erg.io
Name Server: ns01.greedns.net
Name Server: ns02.greedns.net
Name Server: ns03.greedns.net

 では次に、r-fire.netを見てみます。



Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

   Domain Name: R-FIRE.NET
   Registrar: GMO INTERNET, INC. DBA ONAMAE.COM
   Whois Server: whois.discount-domain.com
   Referral URL: http://www.onamae.com
   Name Server: NS01.R-FIRE.NET
   Name Server: NS02.R-FIRE.NET
   Name Server: NS03.R-FIRE.NET
   Status: ok
   Updated Date: 31-jan-2011
   Creation Date: 06-dec-2010
   Expiration Date: 06-dec-2015

(中略)

Domain Handle: None
Domain Name: r-fire.net
Created On: 2010-12-07 04:11:34.0
Last Updated On: 2011-02-01 11:53:12.0
Expiration Date: 2015-12-07 04:11:33.0
Status: ACTIVE
Registrant Name: yuta watanabe
Registrant Organization: erg co,.ltd
Registrant Street1: 2-6-3Nishigotanda
Registrant Street2: 
Registrant City: Shinagawa-ku
Registrant State: Tokyo
Registrant Postal Code: 141-0031
Registrant Country: JP
Registrant Phone: 0355757966
Registrant Fax: 
Registrant Email: w@erg.io
Admin Name: yuta watanabe
Admin Organization: erg co,.ltd
Admin Street1: 2-6-3Nishigotanda
Admin Street2: 
Admin City: Shinagawa-ku
Admin State: Tokyo
Admin Postal Code: 141-0031
Admin Country: JP
Admin Phone: 0355757966
Admin Fax: 
Admin Email: w@erg.io
Billing Name: yuta watanabe
Billing Organization: erg co,.ltd
Billing Street1: 2-6-3Nishigotanda
Billing Street2: 
Billing City: Shinagawa-ku
Billing State: Tokyo
Billing Postal Code: 141-0031
Billing Country: JP
Billing Phone: 0355757966
Billing Fax: 
Billing Email: w@erg.io
Tech Name: yuta watanabe
Tech Organization: erg co,.ltd
Tech Street1: 2-6-3Nishigotanda
Tech Street2: 
Tech City: Shinagawa-ku
Tech State: Tokyo
Tech Postal Code: 141-0031
Tech Country: JP
Tech Phone: 0355757699
Tech Fax: 
Tech Email: w@erg.io
Name Server: ns01.r-fire.net
Name Server: ns02.r-fire.net
Name Server: ns03.r-fire.net

 isonmx.comもr-fire.netもGMOから取得され、Admin Nameは"yuta watanabe"、Admin Organizationは"erg co,.ltd"と、両者の登録情報は完全に一致します。そしてなぜか、r-fire.netのドメインの電話番号は日本国内用の電話番号になっています。
 ここで気になる"erg co,.ltd"とやら。よく見るとAdmin Emailに、このerg co,.ltdのドメインらしきものがありますね。
 エルグ株式会社
だそうです。Adminの住所とも一致します。代表取締役の名前は「渡辺 雄大」となっています。
 次に、info77yum4rex.netのWHOISを参照します。




Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

   Domain Name: INFO77YUM4REX.NET
   Registrar: MELBOURNE IT, LTD. D/B/A INTERNET NAMES WORLDWIDE
   Whois Server: whois.melbourneit.com
   Referral URL: http://www.melbourneit.com
   Name Server: NS.NS-MARIMBA.COM
   Name Server: NS3.NS-MARIMBA.COM
   Status: clientTransferProhibited
   Updated Date: 24-jan-2013
   Creation Date: 21-sep-2012
   Expiration Date: 21-sep-2013

(中略)

Domain Name.......... info77yum4rex.net
  Creation Date........ 2012-09-21
  Registration Date.... 2012-09-21
  Expiry Date.......... 2013-09-21
  Tracking Number...... 1746520089_DOMAIN_NET-VRSN
  Organisation Name.... Nobuhiko Furusawa
  Organisation Address. 5500 Campanile Drive
  Organisation Address. 
  Organisation Address. 
  Organisation Address. San Diego
  Organisation Address. 5990234
  Organisation Address. CA
  Organisation Address. UNITED STATES

Admin Name........... Mick Donald
  Admin Address........ 5500 Campanile Drive
  Admin Address........ 
  Admin Address........ 
  Admin Address. San Diego
  Admin Address........ 5990234
  Admin Address........ CA
  Admin Address........ UNITED STATES
  Admin Email.......... mac-donald77@inbox.com
  Admin Phone.......... +1.724760999
  Admin Fax............ 

Tech Name............ Domain Administrator
  Tech Address......... PO Box 34
  Tech Address......... 
  Tech Address......... 
  Tech Address......... Merriott
  Tech Address......... TA16 5YZ
  Tech Address......... Somerset
  Tech Address......... GREAT BRITAIN (UK)
  Tech Email........... hostmaster@ukservers.net
  Tech Phone........... +44.8701651416
  Tech Fax............. +44.8704780791
  Name Server.......... ns.ns-marimba.com
  Name Server.......... ns3.ns-marimba.com

 おや、一番最初に登場したsslastcrop.netのAdmin Nameが"Mike Donald"なのに対し、こちらのドメインのAdmin Nameは"Mick Donald"となっています。Admin Addressに至っては"5500 Campanile Drive, San Diego, CA, UNITED STATES"と全く一緒です。Admin Addressのうちの数字だけの項目が"92182"と"5990234"とに違っている理由はわかりませんが。というかこの数字が何を示すのかもわかりません。
 となると、気になるのは"5500 Campanile Drive, San Diego, CA, UNITED STATES"という住所です。早速Google Mapsで見てみましょう。

5500 Campanile Drive, San Diego, CA, UNITED STATES


大きな地図で見る

 拡大してみると、とりあえずは人家も社屋もありそうにはありません。
 というかここ、サンディエゴ州立大学の敷地だし。
 となると、さっきの"92182"とか"5990234"っていうのは学校絡みの番号なんでしょうか。まあ調べようがありませんけどね。

 そして、一番最初に出てきたエルグ株式会社は、こんなサービスを提供していました。
 エルグ株式会社 | 高速メールサーバー
要するに、携帯電話キャリアによる大量メール配信業者対策による受信ブロックを回避し、大量のメールを配信するためのサービスです。
 おそらく先述のsslastcrop.netとr-fire.netは、このサービスに利用されているドメインなのでしょう。
 何にせよ、迷惑千万であることに変わりはありません。


 迷惑メールで送られてくるリンクについては、以下のサイトに詳しくまとめてありますのでどうぞ御覧ください。

私のところに来た迷惑メールのマルウェアapkで遊んでみた - すかいのーと。-Nota Caelum-
 みなさんも十分にお気をつけください。
 とりあえず、私は一生LINEを使わないことを心に誓いました。
 メールアドレスを変更するかどうか悩むなぁ……。