9月 072010
 

 私は、ネットショッピングも含めて各サイトに対してそのサイト固有のメールアドレスを登録するようにしている。例えば楽天なら rakuten@〜 だし、Amazon.co.jp なら amazon@〜 といった感じで、Postfixにバーチャルドメイン機能で @ 以前に何を書いても届くアドレスを作っておいて、それを巧く活用している。

 さて、以前誘われて数日くらい「LOST Online」というゲームをやっていた。内容は超劣化Diablo系といったところだろうか。このゲームの登録のときは、コンテンツプロバイダに合わせて mgame@〜 というアドレスを使っていたが、最近、このアドレスに spam が届くようになってきた。

 mgameに問い合わせても「漏洩の事実はありません」という木で鼻をくくったような返事しか返ってこなかった(しかも、From:が適切に設定されていなかった)が、mgameにしか開示していない、というよりmgameのためにできたアドレスなので、mgame経由で漏洩したかブルートフォース的なアプローチでたまたまヒットしたかのどちらかしかない。しかし、ブルートフォース的アプローチの場合、その手法を使った場合には大量のspamを受け取ることになるがそのような事実はないので、まず前者だろう。所詮Kの国の系列の会社なんてこんなものですよね。

 さて、そういうクソな情報管理について言うつもりはなくて、ここのところ出会い系spamが何件か立て続けに着弾した。その背後にspam配信ネットワークっぽいものがあったので書いてみる。

 ここ1ヶ月ほどで mgame@〜 に着弾した、または送信しようとした送信元 IP アドレスは以下の通り。

  • 119.40.160.117
  • 119.40.160.74
  • 119.40.160.75
  • 210.169.148.150
  • 210.169.148.179
  • 210.169.148.186
  • 210.169.148.201
  • 210.169.148.217
  • 211.8.131.164
  • 211.8.131.165
  • 211.8.131.167
  • 211.8.131.173
  • 211.8.131.175
  • 211.8.131.177
  • 211.8.131.181
  • 211.8.131.185
  • 211.8.131.189
  • 211.8.131.213
  • 211.8.131.222
  • 211.8.131.230
  • 211.8.131.248
  • 211.8.131.252

 RBLを活用しており、かつ逆引きできない IP アドレスからのメールは拒否しているので実質数通しか届いていないが、よく見ると綺麗に3つのネットワークしかない。119.40.160.0/24 は APNIC 曰く中国広東省なので iptables -j REJECTして終了。残り2つのネットワーク、210.169.148.0/24 と 211.8.131.128/25 はそれぞれ日本のぱっと見は別の会社のIP帯域になる。

# whois -h whois.nic.ad.jp 210.169.148.217
[ JPNIC database provides information regarding IP address and ASN. Its use   ]
[ is restricted to network administration purposes. For further information,  ]
[ use 'whois -h whois.nic.ad.jp help'. To only display English output,        ]
[ add '/e' at the end of command, e.g. 'whois -h whois.nic.ad.jp xxx/e'.      ]
Network Information:
a. [Network Number]             210.169.148.0/24
b. [Network Name]               WINS-NET-2
g. [Organization]               WINS COMMUNICATIONS CO., LTD.
m. [Administrative Contact]     ST9511JP
n. [Technical Contact]          ST9511JP
p. [Nameserver]                 ns.ark-net.ne.jp
p. [Nameserver]                 ns2.ark-net.ne.jp
[Assigned Date]                 2007/07/30
[Return Date]
[Last Update]                   2007/07/31 14:38:12(JST)
# whois -h whois.nic.ad.jp 211.8.131.252
[ JPNIC database provides information regarding IP address and ASN. Its use   ]
[ is restricted to network administration purposes. For further information,  ]
[ use 'whois -h whois.nic.ad.jp help'. To only display English output,        ]
[ add '/e' at the end of command, e.g. 'whois -h whois.nic.ad.jp xxx/e'.      ]
Network Information:
a. [Network Number]             211.8.131.128/25
b. [Network Name]               ARK-NET
g. [Organization]               ARK CO.,LTD.
m. [Administrative Contact]     KN6838JP
n. [Technical Contact]          KN6838JP
p. [Nameserver]
[Assigned Date]                 2004/06/29
[Return Date]
[Last Update]                   2004/06/29 09:32:05(JST)
Less Specific Info.
----------
SOFTBANK TELECOM Corp.
[Allocation]                                 211.8.0.0/16
Open Data Network
SUBA-931-069 [Sub Allocation]                           211.8.131.0/24
More Specific Info.
----------
No match!!

 別の会社のようにみえるが、前者の DNS を見ると…… しかも、各ネットワークの技術担当者のJPNICハンドルで検索してみると、

# whois -h whois.nic.ad.jp ST9511JP
[ JPNIC database provides information regarding IP address and ASN. Its use   ]
[ is restricted to network administration purposes. For further information,  ]
[ use 'whois -h whois.nic.ad.jp help'. To only display English output,        ]
[ add '/e' at the end of command, e.g. 'whois -h whois.nic.ad.jp xxx/e'.      ]
Contact Information:
a. [JPNIC Handle]               ST9511JP
c. [Last, First]                Tsunedomi, Shintaro
d. [E-Mail]                     domain@winscom.co.jp
g. [Organization]               WINS COMMUNICATIONS CO., LTD.
l. [Division]
n. [Title]
o. [TEL]                        086-245-0800
p. [FAX]                        086-242-3339
y. [Reply Mail]
[Last Update]                   2009/08/28 09:59:13(JST)
db-staff@nic.ad.jp
# whois -h whois.nic.ad.jp KN6838JP
[ JPNIC database provides information regarding IP address and ASN. Its use   ]
[ is restricted to network administration purposes. For further information,  ]
[ use 'whois -h whois.nic.ad.jp help'. To only display English output,        ]
[ add '/e' at the end of command, e.g. 'whois -h whois.nic.ad.jp xxx/e'.      ]
Contact Information:
a. [JPNIC Handle]               KN6838JP
c. [Last, First]                Nakata, Kohei
d. [E-Mail]                     kohei@winscom.co.jp
g. [Organization]               WINS Communications Co., Ltd.
l. [Division]
n. [Title]
o. [TEL]                        086-245-0800
p. [FAX]                        086-242-3339
y. [Reply Mail]                 apply@iij.ad.jp
[Last Update]                   2003/03/25 18:01:10(JST)
yuko-i@iij.ad.jp

 同じ会社でござったの巻。ARK側の企業サイトの残骸が http://www.ark-japan.com/management/index.html 辺りにあるが、ここの会社概要を見ようとすると(株)ウインズコミュニケーションズ (http://www.winscom.co.jp/) にリダイレクトされるので、恐らく(株)ウインズコミュニケーションズに吸収されたか新装開店したかのどちらかだろう。いずれにしても、コーポレートサイトなのに会社の所在地詳細などが記載されていない辺り、うさんくささ満点である。

 この会社のサイトをみると、B.E.A.M.というメール配信システムを運用しているらしい。(http://beam.am/) 「仮想IP」を思いっきり誤用している宣伝文句が書かれているが、要はメール配信中に先方のサーバから帯域なりを絞られたら別のIPアドレスにフォールバックするシステムで、大手の出会い系サイトでは2000年初頭から実装されていたもののようだ。

 今回は、spamに掲載されていたURLのドメイン名、IPアドレスをホスティングしているサーバなどと(株)ウィンズコミュニケーションズとの繋がりが見えなかったので、あくまでこの会社はspamメール配信だけを行った会社だとしか言えない。「迷惑メールのお問い合わせ」ページなるものが http://www.winscom.co.jp/abuse/ にあるが、「ARK-NET spam」でググった結果「WINS-NET spam」でググった結果を見ても、spam 配信で食っている会社だということだろう。

 ここまで分かれば IP 帯域ごと iptables -j REJECT しても問題ないので、心おきなく REJECT させて貰った。正直、この帯域から受けるメールに有用なものはないと思われるので、自前メールサーバを持っているなら普通に REJECT してもいいと思う。


Comments

comments

Powered by Facebook Comments