読者です 読者をやめる 読者になる 読者になる

MuramatsuGroupKiller spam Library

迷惑メールを色々調べます

出会い系詐欺サイト LOVE その2

ID@掲示板から誘導される、出会い系詐欺サイト「LOVE」の迷惑メールです。
今回はメールの内容を詳しく調べてみます。

 

まずはメール本文を晒します。

 

★ ☆★☆★☆★☆★☆
 新 着 . M A I L
★☆★☆.★☆★☆★☆

◆地域担当◆優奈-Yuna-◆様から
メッセージが届いてい.ます♪

◆◇━━━━ ━━◇◆
▼タイトル▼
○●━【PTまるまる3倍以.上贈呈確定】◆.★☆★\1,000入金で300PT!\5,000ならなんと1500!ポイント3倍キャンペーン実施★☆★◆【PTまるまる3倍以上贈呈確定】━●○
_.-._.-._.-._
▼メッセージ確認▼
http://bzm83.ucvbduyrwsdcf.com/YLm0/Ou7Mq4ToN7q6Uo2SsZSs5Ap7Ln4Lu2wr7Tq35S
※-閲-覧-無-料-※
◆◇━━━━.━━◇◆

▼P T追加はこちら▼
http://bzm83.ucvbduyrwsdcf.com/r3DD/6Mr4JrbHc8Mz7z
====-====
◆◇━━━━━━◇◆
------.------
▼ログイン▼
http://bzm83.ucvbduyrwsdcf.com/hfOhi/XhgUhnS2kXpjT4Ei
.--.--.--.--.
▼お問い合わせ▼
info@bzm83.odfsibsufgdvs.com

◆◇━━━━━━◇◆
※①-⑧ 歳 未 満の 利 用 は 禁 止 と なっております※


2つのドメイン、ucvbduyrwsdcf.comとodfsibsufgdvs.comが読み取れますね。
aguse.jpで見てみましょう。

http://www.aguse.jp/?url=ucvbduyrwsdcf.com

http://www.aguse.jp/?url=odfsibsufgdvs.com

前回のブログで書いたPSILというネットワーク上にあります。
これだけでMuramatsuGroupということがわかります。
また同じサイトなのにドメイン、IPアドレスが違いますね。
一番下のその他の情報で、判定結果にCAUTIONがあります。
迷惑メール送信者としてブラックリスト入りしている、という意味です。

さらに詳しく見ると、ドメイン情報の登録者E-Mailが適当なYahoo!メールに
なっています。
フリーメールを公開連絡先にするのは、詐欺師の常套手段です。

メール本文だけでもこれだけのことがわかります。

次にメールヘッダを晒します。
先頭が X- の行は、送受信アプリやサーバーが任意に設定できるので、
省きます

 

From - Fri Jan 30 03:17:42 2015
Received-SPF: pass (acc013.localhost: domain of zme30n2v4p7q3uy81tm@bzm83.odfsibsufgdvs.com designates 103.254.61.34 as permitted sender) receiver=acc013.localhost; client-ip=103.254.61.34; envelope-from=zme30n2v4p7q3uy81tm@bzm83.odfsibsufgdvs.com;
Authentication-Results: mta565.mail.kks.yahoo.co.jp  from=bzm83.odfsibsufgdvs.com; domainkeys=neutral (no sig); dkim=fail (unknown key version); header.i=@odfsibsufgdvs.com
Received: from 103.254.61.34  (EHLO acc013.localhost) (103.254.61.34)
  by mta565.mail.kks.yahoo.co.jp with SMTP; Fri, 30 Jan 2015 03:15:44 +0900
Received: by acc013.localhost (Postfix, from userid 1002)
    id 4D3DC148F06A; Fri, 30 Jan 2015 03:15:44 +0900 (JST)
Received: from localhost (unknown [10.148.53.100])
    by localhost (Postfix) with ESMTP id 29881148EF41
    for <受信メールアドレス>; Fri, 30 Jan 2015 03:15:44 +0900 (JST)
Received: from 103.12.216.156 (unknown [103.12.216.156])
    by acc013.localhost (Postfix) with ESMTP id 29881148EF41
    for <受信メールアドレス>; Fri, 30 Jan 2015 03:15:44 +0900 (JST)
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple; t=1422555344;
    s=g20140602; d=odfsibsufgdvs.com;
    h=Date:From:To:Message-id:Subject:MIME-Version:Content-Type:Content-Transfer-Encoding;
    bh=QwVPQ6P+gUIe7jovMDJPePhXGaxEt44qIKryhK31TZo=;
    b=MKV+xnUZzkeFgqSUc50BeIblHa1WaY9Ez/t1KT18TTpHjZjHy+SEICawJlVF4KOe
    LpjAN6x4fmPl+DqCMc9ACRmMeDCvwp6AJSCeAL45722HB+kC7jq+ZFtD5q+36Klb2Ti
    qHu+pan26LRYh1/j7ZtAOMObIPq4qPccte1HS/wA=
Date: Fri, 30 Jan 2015 03:15:44 +0900 (JST)
From: =?Shift_JIS?B?gaFMT1ZFgaGBn5JuiOaSU5OWgZ+XRJPeLVl1bmEtgZ8=?= <mail@bzm83.odfsibsufgdvs.com>
To: 受信メールアドレス
Message-ID: <K7U02lVLAW4Y.3Nb5pq8XXudDGcSW8LnYIDvfUF@MSm12P5hmoQ.8ANgTW>
Subject: =?Shift_JIS?B?gZ9MT1ZFgZ+Bm4GchKougXlQVILcgumC3ILpM5R7iMiP45GhkuaKbQ==?=
 =?Shift_JIS?B?kuiBeoGfgZqBmYGaXDEsMDAwk/yL4ILFMzAwUFSBSVw1LDA=?=
 =?Shift_JIS?B?MDCCyILngsiC8YLGMTUwMIFJg3yDQ4OTg2czlHuDTIODg5Mgg3mBW4OT?=
 =?Shift_JIS?B?jsCOe4GagZmBmoGfgXlQVILcgumC3A==?=
 =?Shift_JIS?B?gukzlHuIyI/jkaGS5optkuiBeoSqgZyBmw==?=
MIME-Version: 1.0
Content-Type: text/plain; charset=Shift_JIS
Content-Transfer-Encoding: base64

 

Date: は日付
From: は送信者
To: は受信者
Message-ID: は送信サーバーがメール一通ずつに割り当てるID
Subject: は件名

これらと、重要ではない情報を削って見やすくしてみます。

Received-SPF: pass (acc013.localhost: domain of zme30n2v4p7q3uy81tm@bzm83.odfsibsufgdvs.com designates 103.254.61.34 as permitted sender) receiver=acc013.localhost; client-ip=103.254.61.34; envelope-from=zme30n2v4p7q3uy81tm@bzm83.odfsibsufgdvs.com;

Authentication-Results: mta565.mail.kks.yahoo.co.jp  from=bzm83.odfsibsufgdvs.com; domainkeys=neutral (no sig); dkim=fail (unknown key version); header.i=@odfsibsufgdvs.com

Received: from 103.254.61.34  (EHLO acc013.localhost) (103.254.61.34)
  by mta565.mail.kks.yahoo.co.jp with SMTP

Received: by acc013.localhost (Postfix, from userid 1002)

Received: from localhost (unknown [10.148.53.100])
    by localhost (Postfix) with ESMTP

Received: from 103.12.216.156 (unknown [103.12.216.156])
    by acc013.localhost (Postfix) with ESMTP

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple; t=1422555344;
    s=g20140602; d=odfsibsufgdvs.com;
    h=Date:From:To:Message-id:Subject:MIME-Version:Content-Type:Content-Transfer-Encoding;
    bh=QwVPQ6P+gUIe7jovMDJPePhXGaxEt44qIKryhK31TZo=;
    b=MKV+xnUZzkeFgqSUc50BeIblHa1WaY9Ez/t1KT18TTpHjZjHy+SEICawJlVF4KOe
    LpjAN6x4fmPl+DqCMc9ACRmMeDCvwp6AJSCeAL45722HB+kC7jq+ZFtD5q+36Klb2Ti
    qHu+pan26LRYh1/j7ZtAOMObIPq4qPccte1HS/wA=



SPFDKIM、そしてReceivedの3つの情報に絞れました。

Authentication-Results:を見るとDKIMは認証失敗のようです。
どうやら公開鍵が設定されていないようです。

Receivedは4行あります。下から上への流れで見ます。
なので送信元は103.12.216.156でodfsibsufgdvs.comのIPアドレスと一致します。
下から2つ目はローカルIPアドレス、3つ目はIPアドレスが出ていません。

Receivedの情報は偽装も可能なので、当てになりません。
ただし、一番上の行は偽装するとSPF認証で失敗してしまいます。
Received-SPF:はPassしているので、この情報は信用できそうです。

103.254.61.34を調べてみましょう。

http://www.aguse.jp/?url=+103.254.61.34


aguse.jpから読み取れる情報を整理してみます。

ネットワーク:103.254.61.0 - 103.254.61.255
組織名:MAINT-BRONZEARMLLC-JP
住所:東京都港区赤坂4-2-3 ディライトビルディング2F
電話:03-4455-7087
Eメール:info@bronze-arm.net

余談ですが、2015年2月7日現在、aguse.jpのドメイン情報は空欄で
サーバーの所在位置がオーストラリアのブリスベンになっています。
これは、aguse.jpのデーターベースにまだ登録されておらず、
ネットワークを管轄しているAPNICの所在地が表示されているようです。

一応、住所をGoogleストリートビューで確認しておきます。

Google マップ - 地図検索

 

予想通り、バーチャルオフィスのようです。詐欺師が隠れ蓑として利用しています。

これ以上は、警察が強制捜査でもしないと無理なようです。

ハリケーンエレクトリックのBGP Toolkitでも見ておきます。

103.254.61.34 - bgp.he.net

上位ISPはAS17676、Softbank BBです。

 

メールヘッダから調査すると、このように一旦中継されているのがわかります。

またそのネットワークが、Softbank系からバーチャルオフィスを所在地にしている

怪しげな組織に直接割り当てられているのはよくあることです。

 

このことに関してクレームを入れてもSoftbankは一切無視です。

 

さらに「LOVE」から来ている多数のメールをよく調べると、この中継のIPアドレス

沢山あることがわかります。

この中継サーバーは103.254.61.0 - 103.254.61.255の範囲をめいいっぱい

使ってきます。

 

ドメインだけでなく、IPアドレスを中継サーバーで頻繁に変え、特定を困難に

することにより、キャリアが仕掛けた迷惑メールフィルターを突破してくるのです。

しかも中継サーバーが、そのキャリアが提供しているネットワーク上にあるのです。

 

いくらでも迷惑メールがフィルタを突破してくる理由が、お分かりいただけたでしょうか?

他にも色々手のこんだことを詐欺師どもはしているんですが、それはまたの機会に。

 

最後にSPFレコードを晒しておきます。

SPFレコードには、その中継サーバーの情報が書かれています。

 

0:odfsibsufgdvs.com [IP:103.12.216.156]
  SOAレコード:
    ゾーン名:odfsibsufgdvs.com [IP:103.12.216.156]
    プライマリーDNSサーバ:ns1.value-domain.com [IP:54.65.150.1]

  NSレコード:(odfsibsufgdvs.com)
    DNSサーバー1:ns1.value-domain.com [IP:54.65.150.1]
    DNSサーバー2:ns2.value-domain.com [IP:54.64.110.166]

  a機構:
    fd006.relaymail.jp

  include機構:
    spf.mail-b.net
    spf-acc.burn-oxygen.com
    spfall.ark-net.ne.jp

  ip4機構:

1:spf.mail-b.net [IP: - ]
  SOAレコード:
    ゾーン名:mail-b.net [IP: - ]
    プライマリーDNSサーバ:master.dns.ne.jp [IP:210.224.172.18]

  NSレコード:(mail-b.net)
    DNSサーバー1:ns2.dns.ne.jp [IP:210.224.172.13]
    DNSサーバー2:ns1.dns.ne.jp [IP:210.188.224.9]

  a機構:

  include機構:
    spf01.mail-b.net
    spf02.mail-b.net
    spf03.mail-b.net
    spf04.mail-b.net

  ip4機構:

2:spf-acc.burn-oxygen.com [IP: - ]
  SOAレコード:
    ゾーン名:burn-oxygen.com [IP: - ]
    プライマリーDNSサーバ:master.dns.ne.jp [IP:210.224.172.18]

  NSレコード:(burn-oxygen.com)
    DNSサーバー1:ns2.dns.ne.jp [IP:210.224.172.13]
    DNSサーバー2:ns1.dns.ne.jp [IP:210.188.224.9]

  a機構:

  include機構:
    spf-acc001.burn-oxygen.com
    spf-acc002.burn-oxygen.com

  ip4機構:

3:spfall.ark-net.ne.jp (error)

4:spf01.mail-b.net [IP: - ]
  SOAレコード:
    ゾーン名:mail-b.net [IP: - ]
    プライマリーDNSサーバ:master.dns.ne.jp [IP:210.224.172.18]

  NSレコード:(mail-b.net)
    DNSサーバー1:ns2.dns.ne.jp [IP:210.224.172.13]
    DNSサーバー2:ns1.dns.ne.jp [IP:210.188.224.9]

  a機構:

  include機構:

  ip4機構:
    103.15.108.0/22
    157.250.72.0/25
    103.20.72.0/22
    103.20.8.0/22
    103.30.72.0/22
    103.20.4.0/22
    202.231.248.0/21
    123.98.155.128/25
    103.6.44.0/22
    103.13.192.0/22
    103.19.116.0/22
    103.19.160.0/22

5:spf02.mail-b.net [IP: - ]
  SOAレコード:
    ゾーン名:mail-b.net [IP: - ]
    プライマリーDNSサーバ:master.dns.ne.jp [IP:210.224.172.18]

  NSレコード:(mail-b.net)
    DNSサーバー1:ns2.dns.ne.jp [IP:210.224.172.13]
    DNSサーバー2:ns1.dns.ne.jp [IP:210.188.224.9]

  a機構:

  include機構:

  ip4機構:
    119.82.8.0/21
    119.82.152.0/21
    180.222.32.0/19
    27.100.28.0/22
    120.143.39.128/25
    103.14.152.0/22
    103.28.184.0/22
    123.50.223.128/25
    157.250.72.128/25
    103.23.248.0/22
    157.250.73.0/25
    103.241.80.0/22

6:spf03.mail-b.net [IP: - ]
  SOAレコード:
    ゾーン名:mail-b.net [IP: - ]
    プライマリーDNSサーバ:master.dns.ne.jp [IP:210.224.172.18]

  NSレコード:(mail-b.net)
    DNSサーバー1:ns2.dns.ne.jp [IP:210.224.172.13]
    DNSサーバー2:ns1.dns.ne.jp [IP:210.188.224.9]

  a機構:

  include機構:

  ip4機構:
    202.231.244.0/22
    1.0.16.0/20
    103.8.64.0/23
    103.13.112.0/22
    103.9.176.0/22
    103.8.66.0/23
    103.13.104.0/22
    103.14.32.0/22
    103.13.164.0/22
    103.14.148.0/22
    103.26.116.0/22
    103.243.152.0/24

7:spf04.mail-b.net [IP: - ]
  SOAレコード:
    ゾーン名:mail-b.net [IP: - ]
    プライマリーDNSサーバ:master.dns.ne.jp [IP:210.224.172.18]

  NSレコード:(mail-b.net)
    DNSサーバー1:ns2.dns.ne.jp [IP:210.224.172.13]
    DNSサーバー2:ns1.dns.ne.jp [IP:210.188.224.9]

  a機構:

  include機構:

  ip4機構:
    103.13.140.0/24
    103.13.141.0/24
    103.13.142.0/24
    103.13.143.0/24
    103.15.212.0/22
    103.20.84.0/22
    103.20.36.0/22
    120.143.17.0/25
    115.187.67.0/24
    103.248.220.0/22

8:spf-acc001.burn-oxygen.com [IP: - ]
  SOAレコード:
    ゾーン名:burn-oxygen.com [IP: - ]
    プライマリーDNSサーバ:master.dns.ne.jp [IP:210.224.172.18]

  NSレコード:(burn-oxygen.com)
    DNSサーバー1:ns2.dns.ne.jp [IP:210.224.172.13]
    DNSサーバー2:ns1.dns.ne.jp [IP:210.188.224.9]

  a機構:

  include機構:

  ip4機構:
    103.255.0.0/22
    103.6.44.0/22
    103.13.140.0/22
    103.19.116.0/22
    103.20.8.0/22
    103.20.36.0/22
    103.228.199.0/24
    103.230.25.0/24
    103.240.253.0/24
    103.243.152.0/24
    103.249.212.0/24

9:spf-acc002.burn-oxygen.com [IP: - ]
  SOAレコード:
    ゾーン名:burn-oxygen.com [IP: - ]
    プライマリーDNSサーバ:master.dns.ne.jp [IP:210.224.172.18]

  NSレコード:(burn-oxygen.com)
    DNSサーバー1:ns1.dns.ne.jp [IP:210.188.224.9]
    DNSサーバー2:ns2.dns.ne.jp [IP:210.224.172.13]

  a機構:

  include機構:

  ip4機構:
    103.251.156.0/22
    103.254.61.0/24
    123.98.155.0/24
    157.250.72.0/25
    103.242.7.0/24
    103.225.81.0/24
    103.253.76.0/22
    103.232.12.0/22
    43.242.133.0/24


include機構の階層構造情報
0. odfsibsufgdvs.com = root
1. spf.mail-b.net > 0
2. spf-acc.burn-oxygen.com > 0
3. spfall.ark-net.ne.jp > 0
4. spf01.mail-b.net > 1
5. spf02.mail-b.net > 1
6. spf03.mail-b.net > 1
7. spf04.mail-b.net > 1
8. spf-acc001.burn-oxygen.com > 2
9. spf-acc002.burn-oxygen.com > 2