8月 042011
 

 過去2度にわたってウインズコミュニケーションズまたはビームの spam 配信システムについて触れてきた(mgameに登録したメールアドレスに(株)ウインズコミュニケーションズからspamが来る件, (株)ウインズコミュニケーションズ (*.wins-beam.net) からのメールをBANする)が、表向き別会社でも同様のメール配信サービスspam 配信サービスが稼動しているようだ。

 今回捕捉したのは以下7件。

Aug  3 12:15:23 ulysses postfix/smtpd[9105]: NOQUEUE: reject:
RCPT from unknown[180.222.51.40]: 450 4.7.1 Client host rejected:
cannot find your hostname, [180.222.51.40]; from=<rainbow+errnnn0
@gbc001.mag-r.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=
<r001-gbc001.mail-b.net>
Aug  3 12:22:42 ulysses postfix/smtpd[9105]: NOQUEUE: reject:
RCPT from unknown[180.222.51.165]: 450 4.7.1 Client host rejected:
cannot find your hostname, [180.222.51.165]; from=<rainbow+errnnn0
@gbc001.mag-r.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=
<r001-gbc001.mail-b.net>
Aug  3 12:23:52 ulysses postfix/smtpd[9105]: NOQUEUE: reject:
RCPT from unknown[180.222.51.215]: 450 4.7.1 Client host rejected:
cannot find your hostname, [180.222.51.215]; from=<rainbow+errnnn0
@gbc001.mag-r.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=
<r001-gbc001.mail-b.net>
Aug  3 12:25:59 ulysses postfix/smtpd[9105]: NOQUEUE: reject:
RCPT from unknown[180.222.51.240]: 450 4.7.1 Client host rejected:
cannot find your hostname, [180.222.51.240]; from=<rainbow+errnnn0
@gbc001.mag-r.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=
<r001-gbc001.mail-b.net>
Aug  3 12:31:26 ulysses postfix/smtpd[9105]: NOQUEUE: reject:
RCPT from unknown[180.222.51.65]: 450 4.7.1 Client host rejected:
cannot find your hostname, [180.222.51.65]; from=<rainbow+errnnn0
@gbc001.mag-r.net> to=<xxxx@xxxx.xx.jp> proto=ESMTP helo=
<r001-gbc001.mail-b.net>
Aug  3 14:39:36 ulysses postfix/smtpd[15063]: NOQUEUE: reject:
RCPT from unknown[180.222.51.215]: 450 4.7.1 Client host rejected:
cannot find your hostname, [180.222.51.215]; from=<rainbow+errnnn1
@gbc001.mag-r.net> to=<yyyy@yyyy.yy.jp> proto=ESMTP helo=
<r001-gbc001.mail-b.net>
Aug  3 14:50:50 ulysses postfix/smtpd[15063]: NOQUEUE: reject:
RCPT from unknown[180.222.51.190]: 450 4.7.1 Client host rejected:
cannot find your hostname, [180.222.51.190]; from=<rainbow+errnnn1
@gbc001.mag-r.net> to=<yyyy@yyyy.yy.jp> proto=ESMTP helo=
<r001-gbc001.mail-b.net>

 こちらのメールサーバは逆引き設定されていないホストからの接続を拒否しているので、実際には spam は着弾していない。余談だが、xxxx@xxxx.xx.jp, yyyy@yyyy.yy.jp はともに株式会社エムゲームにのみ登録したアドレスである。それ以外のサービスには全く使われていないし、そもそもアドレスを見ただけでそういう用途だとわかるはずだが、未だに株式会社エムゲームは漏洩の事実を認めようとはしない。

 今回、180.222.51.40, 180.222.51.65, 180.222.51.165, 180.222.51.190, 180.222.51.165, 180.222.51.215, 180.222.51.240 から接続があったが、これらは全て

whois -h whois.nic.ad.jp 180.222.51.40
[ JPNIC database provides information regarding IP address and ASN. Its use   ]
[ is restricted to network administration purposes. For further information,  ]
[ use 'whois -h whois.nic.ad.jp help'. To only display English output,        ]
[ add '/e' at the end of command, e.g. 'whois -h whois.nic.ad.jp xxx/e'.      ]
Network Information:
[Network Number]                180.222.32.0/19
[Network Name]
[Organization]                  Redspeed Networks Co., Ltd.
[Administrative Contact]        MK19848JP
[Technical Contact]             MK19848JP
[Abuse]                         netadmin@red-speed.net
[Allocated Date]                2011/03/01
[Last Update]                   2011/03/02 11:10:11(JST)
Less Specific Info.
----------
No match!!
More Specific Info.
----------
No match!!

株式会社レッドスピードネットワークスの所有する IP アドレスになる。ぱっと見は spam 配信システム BEAM を運用している株式会社ビーム(旧株式会社ウインズコミュニケーションズ)とは違うように見えるが、レッドスピードネットワークスでも spam 配信システム BEAM が稼動していると見て良い。

 そう判断した理由は以下3点。

  1. 1回メール送信に失敗すると、別の IP アドレスで再送しようとする点。
  2. エンベロープフロムのアカウント名 (@ 以前) が rainbow+err[任意の数字] になっている。
  3. 株式会社レッドスピードネットワークスの所在地が、株式会社ビームの東京支社と同じ。また、株式会社レッドスピードネットワークスのサイトにある電話番号と JPNIC に登録されている電話番号が異なり、後者は株式会社ビームの代表番号になっている。

 1.については、出会い系など大量の(spam ではなく、サービスの一環としての例えばメッセージ着信通知などの)メールを特に携帯アドレスに配信する必要がある場合にはよく使われる手法なので、これだけで spam 送信と判定はできない。
 だが、2. は spam 配信システム BEAM の特徴になる。この任意の数字がついたメールアドレスにバウンスメールが返ることで、送信先のアドレスが生きているかを確認していると思われる。
 3. に至っては、もはや決定的な状況証拠と言ってもよい。渋谷や新宿は出会い系業者の集まる地域ではあるが、とはいえ「偶然」同じビルに入居することはあまり考えられないだろう。

 以上より、株式会社レッドスピードネットワークスは株式会社ビーム系と判断して問題ないだろう。現実問題として、株式会社レッドスピードネットワークスから届くメールを受信する必要はないかと思われるので、前回と同じく iptables を使って L3 レベルで拒否することにする。まず、株式会社レッドスピードネットワークスが所有する全ての IP アドレスを調査する。今回、担当者の JPNIC ハンドルは MK19848JP なので

whois -h whois.nic.ad.jp ^MK19848JP
[ JPNIC database provides information regarding IP address and ASN. Its use   ]
[ is restricted to network administration purposes. For further information,  ]
[ use 'whois -h whois.nic.ad.jp help'. To only display English output,        ]
[ add '/e' at the end of command, e.g. 'whois -h whois.nic.ad.jp xxx/e'.      ]
Contact Information:
a. [JPNIC Handle]               MK19848JP
c. [Last, First]                Konishi, Masaya
d. [E-Mail]                     info@red-speed.net
g. [Organization]               Redspeed Networks Co., Ltd.
l. [Division]
n. [Title]
o. [TEL]                        03-3400-0433
p. [FAX]
y. [Reply Mail]                 info@red-speed.net
[Last Update]                   2011/02/18 14:35:05(JST)
db-staff@nic.ad.jp
[Referred From]                 NET/27.100.28.0/22
[Referred From]                 NET/119.82.8.0/21
[Referred From]                 NET/119.82.152.0/21
[Referred From]                 NET/119.82.152.0/21
[Referred From]                 NET/124.248.144.0/23
[Referred From]                 NET/180.222.32.0/19
[Referred From]                 NET/203.142.207.16/28
[Referred From]                 NET/203.142.214.0/24

つまり、対象の IP アドレスは

  • 27.100.28.0/22
  • 119.82.8.0/21
  • 119.82.152.0/21
  • 119.82.152.0/21
  • 124.248.144.0/23
  • 180.222.32.0/19
  • 203.142.207.16/28
  • 203.142.214.0/24

の8ブロックになる。これを iptables に直すと

iptables -A INPUT -s 27.100.28.0/22    -j REJECT
iptables -A INPUT -s 119.82.8.0/21     -j REJECT
iptables -A INPUT -s 119.82.152.0/21   -j REJECT
iptables -A INPUT -s 119.82.152.0/21   -j REJECT
iptables -A INPUT -s 124.248.144.0/23  -j REJECT
iptables -A INPUT -s 180.222.32.0/19   -j REJECT
iptables -A INPUT -s 203.142.207.16/28 -j REJECT
iptables -A INPUT -s 203.142.214.0/24  -j REJECT

こんな感じだろうか。-A にするか -I にするかは運用次第だが、Linux サーバなどでよく使われているであろう RHEL/CentOS/Scientific Linux の場合は /etc/sysconfig/iptables

  -A INPUT -s 27.100.28.0/22    -j REJECT
-A INPUT -s 119.82.8.0/21     -j REJECT
-A INPUT -s 119.82.152.0/21   -j REJECT
-A INPUT -s 119.82.152.0/21   -j REJECT
-A INPUT -s 124.248.144.0/23  -j REJECT
-A INPUT -s 180.222.32.0/19   -j REJECT
-A INPUT -s 203.142.207.16/28 -j REJECT
-A INPUT -s 203.142.214.0/24  -j REJECT

として /etc/init.d/iptables restart すればよい。

 しかし、この手のサービスはダミー会社を作ってまで運用するほど儲かるものなのだろうか。JPNIC が保有する IP アドレスが枯渇した今となってはそういった運用もしづらくなるとは思うが、今後の動きを注視していきたい。


Comments

comments

Powered by Facebook Comments