MuramatsuGroupKiller spam Library

迷惑メールを色々調べます

支援詐欺:「大川カズノリと申します」<ookawa-net@softbaoku.jp>

今回は「大川カズノリ」の迷惑メールを調べます。

まずは、突っ込むのもバカバカしくなる本文ですが、晒しておきます。

大川カズノリです。
毎月80万程度を半年~2年継続で受け取って頂きたいです。
500万~2000万を無償で受け取って下さい。
現在私の会社は、国税局からの圧力でこのままでは大きく税金を取られ、会社が傾いてしまいます。社員の生活も背負っている身分ですので、なんとかしないとと思っている次第です。
そしてこの状況を回避するにはどなたかに役員登録をしてもらい、月々80万程度程度を役員報酬として受け取って頂く、という方法がベストなんです。
誰かに毎月80万程度お支払いした方が会社としてはお得だなんて、おかしな話だとは思いませんか?しかしこれが現状の日本の税金システムなんです。
無論貴方にデメリットは一つもありません!!
あるとすれば、金銭感覚がおかしくなってしまうかもしれない、というただ一点のみです。
違法性や犯罪性も0です。もちろん脱税幇助などにもあたりません。正式な手続きの下、貴方に80万程度毎月振り込まれるわけですから。
ここまでお話し、信用して頂けませんか?不安などあればなんでもお答えします。まず一度ご連絡頂けませんか?
一度こちらまで≪詳細希望≫とご連絡頂ければと思います。

 

本文のパターンは毎回微妙に変更されています。ステップメール機能を使って順次送信しているんでしょう。
何故今回これを取り上げたかというと、「紛争解決仲裁センター 担当藤田」と同じように、返信すると数回に分けて個人情報・銀行口座情報を聞いてくることがわかったからです。
恐らく同じ詐欺グループだと思われます。

メールヘッダからサーバー情報を抜粋して晒します。

[SPF]
Received-SPF: pass (yoxqewv.ijagdad7.net: domain of return-xxxxxxxx@softbaoku.jp designates 113.212.140.11 as permitted sender) receiver=yoxqewv.ijagdad7.net; client-ip=113.212.140.11; envelope-from=return-xxxxxxxx@softbaoku.jp;

[DKIM]
Authentication-Results: xxxxxxxx  from=softbaoku.jp; domainkeys=neutral (no sig); dkim=neutral (no sig); header.i=@softbaoku.jp

[Received]
Received: from 113.212.140.11  (EHLO yoxqewv.ijagdad7.net) (113.212.140.11)

Received: from oxkogfyjiy (semmfoe.ijagdad7.net [113.212.140.3]) by ofjcpmr.ijagdad7.net (Postfix) with ESMTP

Received: from localhost (unknown [103.212.221.8]) by vdlxejzyec (Postfix) with ESMTP


送信元IPは103.212.221.8になっています。まずはこれを調べてみます。
103.212.221.0/24は韓国のネットワークですが、Robtexはなにやら言ってますね。

network 103.212.221.0/24 ehostIDC - Robtex

"The network is announced but not registered by AS4766 and registered but not announced by AS45382. "

AS4766がアナウンスしているが登録していない、AS45382が登録している、ということでしょうか。
AS4766はKorea Telecom、AS45382はEHOSTIDCです。EHOSTIDCのIPv4peerにYahoo!JAPANがいますね。

http://bgp.he.net/AS4694#_peers


日本に近いネットワーク、という認識で良いんでしょうか。

とにかくネットワークの割当を受けているのは、NeoSilkRoadなる組織ですが、表立って情報はありません。
Whois情報を晒しておきます。

role:           neoSilkRoad administrator
address:        Gasan Digital 2-ro 98, Geumchon-gu, Seoul, Korea, Seoul  08506
country:        KR
phone:          +821036090478
fax-no:         +82264992262
e-mail:         neosilkroad1509@gmail.com
admin-c:        NA568-AP
tech-c:         NA568-AP
nic-hdl:        NA568-AP
mnt-by:         MAINT-NEOSILKROAD-KR
changed:        hm-changed@apnic.net 20160331
source:         APNIC



メールアドレスがgmailの時点で、詐欺師とグルではないかと疑いますね。


次に転送をかけているように見えるサーバーですが、133.212.140.0/24の範囲で毎回変わるようです。
こちらはACE iDCです。

http://bgp.he.net/AS56291

※リンク間違えてました、訂正しました。


何年も前にMuramatsuGroupの一派が大規模な迷惑メール送信サーバーをACE iDCに構築したようですが、どうやら未だ健在のようです。
過去何回もACE iDCに苦情を送りましたが、「我々は法律違反はしていない、文句なら直接送信者に言え」というスタンスです。
犯罪者にネットワークリソースを割り当てているという認識は絶対にあるはずです。

一ヶ月でひとつのメールアドレスに対し約400通もの迷惑メールが送信されている事実、知らないとは思えません。
下記、HE BGPtoolkitを見れば解ると思いますが、意味のない英数字の羅列が逆引きドメインとして大量に設定されています。
迷惑メールを送信するためのものとしか考えられません。

http://bgp.he.net/net/113.212.128.0/19#_dns


こういった反社会的な組織の情報はどんどん晒していきます。

会社名 株式会社エース
設立 2008年5月2日
資本金 9600万円
役員 代表取締役社長 山下雅史
所在地 本店 東京都中央区新川1-28-38 東京ダイヤビルディング
電話番号 03-6447-0487
メールアドレス(abuse) abuse@ace-idc.com
営業時間 10:00〜18:30
顧問弁護士 卓照綜合法律事務所
取引先銀行 三菱東京UFJ銀行 北國銀行
ホームページ http://ace-idc.com/


おや、社長は笹川能孝から変わったんですか。そうですか。


SPFレコードも晒しておきます。

0:softbaoku.jp [IP:23.22.70.29 / origin:AS16509]
  SOAレコード:
    ゾーン名:softbaoku.jp [IP:23.22.70.29 / origin:AS16509]
    プライマリDNSサーバー:01.dnsv.jp [IP:157.7.32.53]

  NSレコード:(softbaoku.jp)
    DNSサーバー1:02.dnsv.jp [IP:157.7.33.53]
    DNSサーバー2:01.dnsv.jp [IP:157.7.32.53]
    DNSサーバー3:03.dnsv.jp [IP:157.7.32.35]
    DNSサーバー4:04.dnsv.jp [IP:157.7.33.35]

  a機構:

  include機構:

  ip4機構:
    13.0.0.0/8
    52.0.0.0/8
    54.0.0.0/8
    185.50.248.0/18
    113.212.140.0/14
    144.172.88.0/16 [ origin: AS53667 AS64235]
    196.54.10.0/24
    196.54.37.0/24
    162.251.1.0/24 [ origin: AS46841]
    196.54.65.0/24

 

113.212.140.0/14で設定されていますが、/24の間違いじゃないですかね。

(ACE iDCが持ってるのは、113.212.128.0/19)


Softbankと勘違いすることを狙ったであろう softbaoku.jp ドメインIPアドレス23.22.70.29に割り当てられています。

これはAmazonAWSなんですが、直接23.22.70.29にHTTPアクセスをかけてみると、webpage08.comにリダイレクトされます。
「webpage/ウェブページ」という詐欺サイトなんですが、まだ存在しています。

IPアドレスは103.212.221.8、迷惑メール送信元と一致します。

サイトを構築したところで、すぐに情報は晒されるし維持管理も大変、もうメールだけで騙そうというのが、この詐欺グループの手法のようです。


Outlookで仕分けする場合、とりあえずメールサーバーの
113.212.140.
で設定して下さい。

↓具体的な設定方法はこちら。

muramatsugroupkiller.hatenablog.com