ID-code:kon22K/QqM6

今月に入ってから，職場の存在しないアドレス宛に「最新ハッピーニュース！」というspamが大量に来てます。
差出人も詐称されているので，最終的にエラーメールが管理者宛に届いている状況です。
このspamについて何か情報をお持ちの方はおられますでしょうか？

Fromとして使われているアドレス
"鈴木" <Ct3276＠ibm.com>
"鈴木" <Kh29420＠ibm.com>
"鈴木" <Dw17961＠football.com>
"鈴木" <Qs27968＠beach.com>
"鈴木" <Dh3247＠bbc.com>
"、ケ、コ、ュ" <My7581＠sea.com>
"、ケ、コ、ュ" <Vg9843＠football.com>
"、ケ、コ、ュ" <Fk2799＠tour.com>
"、ケ、コ、ュ" <Bb11380＠tour.com>
"、ケ、コ、ュ" <Id34700＠free.com>
"、ケ、コ、ュ" <Cc20595＠plane.com>
"、ケ、コ、ュ" <Se44125＠plane.com>
"、ケ、コ、ュ" <Wb30408＠tour.com>
"、ケ、コ、ュ" <Jp10752＠bbc.com>
"、ケ、コ、ュ" <Vt33167＠tour.com>
"、ケ、コ、ュ" <Dl10448＠ibm.com>
"、ケ、コ、ュ" <Hc49685＠plane.com>

宛先
"Junko" <Junko＠当方のドメイン>
"Gihei" <Gihei＠当方のドメイン>
"Ikue" <Ikue＠当方のドメイン>
"Gennai" <Gennai＠当方のドメイン>
"Dayu" <Dayu＠当方のドメイン>
"Hiromi" <Hiromi＠当方のドメイン>
"Hatsuyo" <Hatsuyo＠当方のドメイン>
"Eikichi" <Eikichi＠当方のドメイン>
"Eijiro" <Eijiro＠当方のドメイン>
"Harumi" <Harumi＠当方のドメイン>
"Hanako" <Hanako＠当方のドメイン>
"Hanae" <Hanae＠当方のドメイン>
"Ebizo" <Ebizo＠当方のドメイン>
"Fumiko" <Fumiko＠当方のドメイン>
"Euiko" <Euiko＠当方のドメイン>
"Benkei" <Benkei＠当方のドメイン>


送信に使われているサーバー
mail.ibm.com ([61.149.25.106])
mail.ibm.com ([61.149.25.96])
mail.football.com ([61.149.25.106])
mail.beach.com ([61.149.27.252])
mail.bbc.com ([61.149.25.49])
mail.sea.com ([61.149.26.219])
mail.football.com ([61.149.27.145])
mail.tour.com ([61.49.138.215])
mail.tour.com ([61.149.25.2])
mail.free.com ([61.149.25.2])
mail.plane.com ([61.49.138.215])
mail.plane.com ([61.49.138.149])
mail.tour.com ([61.49.138.149])
mail.bbc.com ([61.149.25.2])
mail.tour.com ([61.49.138.149])
mail.ibm.com ([61.49.138.149])
mail.plane.com ([61.149.25.46])

61.148.0.0 - 61.149.255.255 ・・・CNCGROUP-BJ, abuse＠cnc-noc.net
61.48.0.0 - 61.51.255.255 ・・・ CNCGROUP-BJ, abuse＠cnc-noc.net
いずれも，
netname: CNCGROUP-BJ
descr: CNCGROUP Beijing province network
descr: China Network Communications Group Corporation
のようです。
abuse＠cnc-noc.net には可能な限り連絡済みですが，状況は全く変化しません。


一例（さっき届いたもの）を示します。

From: "鈴木" <Ct3276＠ibm.com>
Reply-To: Ct3276＠ibm.com
To: "Junko" <Junko＠当方のドメイン>
Subject: 最新ハッピーニュース！
Date: Fri, 12 Dec 2003 05:03:21 +0800
Return-Path: <Ct3276＠ibm.com>
Received: from mail.ibm.com ([61.149.25.106])
by ***.***.***.*** (8.11.6p2/8.11.6) with ESMTP id hBBKvgE27668
for <Junko＠当方のドメイン>; Fri, 12 Dec 2003 05:57:42 +0900 (JST)
Message-Id: <200312112057.hBBKvgE27668＠当方のドメイン>
Content-Type: text/html;iso-2022-jp
Content-Transfer-Encoding: base64
X-Priority: 3
MIME-Version: 1.0

<!-- saved from url=(0022)http://internet.e-mail -->
<html>
<head>
<title></title>
<meta http-equiv="Content-Type" content="text/html; charset=Shift_JIS">
</head>
<body bgcolor="#FFF7CC" leftmargin="0" topmargin="0" marginwidth="0" marginheight="0">
<br>
<center><a href="http://www.gamingclubjapan.com/promotion/sweetdeal_mail.htm
">このページが表示されない場合はこちらをクリックしてください</a>
</center>
<table width="550" border="0" cellspacing="0" cellpadding="0" align="center">
<tr>
<td width="480"><a href="http://www.gamingclubjapan.com/promotion/sweetdeal.htm"><img src="http://218.241.66.13/japangames/images/japan_mail_img60.gif" width="480" height="65" border="0"></a></td>
<td width="70"></td>
</tr>
</table>
<table width="550" border="0" cellspacing="0" cellpadding="0" align="center">
<tr> <td width="480"><a href="http://www.gamingclubjapan.com/promotion/sweetdeal.htm"><img src="http://218.241.66.13/japangames/images/japan_mail_img61.gif" width="480" height="50" border="0"></a></td>
<td width="70"></td>
</tr>
</table>
<table width="550" border="0" cellspacing="0" cellpadding="0" align="center">
<tr> <td width="480"><a href="http://www.gamingclubjapan.com/promotion/sweetdeal.htm"><img src="http://218.241.66.13/japangames/images/japan_mail_img62.gif" width="480" height="40" border="0"></a></td>
<td width="70"></td>
</tr>
</table>
<table width="550" border="0" cellspacing="0" cellpadding="0" align="center">
<tr> <td width="310"><a href="http://www.gamingclubjapan.com/promotion/sweetdeal.htm"><img src="http://218.241.66.13/japangames/images/japan_mail_img63.gif" width="310" height="215" border="0"></a></td>
<td width="170"><a href="http://www.gamingclubjapan.com/promotion/sweetdeal.htm"><img src="http://218.241.66.13/japangames/images/japan_mail_img64.gif" width="170" height="215" border="0"></a></td>
<td width="70"></td>
</tr>
</table>
<table width="550" border="0" cellspacing="0" cellpadding="0" align="center">
<tr> <td width="480"><a href="http://www.gamingclubjapan.com/promotion/sweetdeal.htm"><img src="http://218.241.66.13/japangames/images/japan_mail_img65.gif" width="480" height="40" border="0"></a></td>
<td width="70"></td>
</tr>
</table>
<table width="550" border="0" cellspacing="0" cellpadding="0" align="center">
<tr> <td width="480"><a href="http://www.gamingclubjapan.com/promotion/sweetdeal.htm"><img src="http://218.241.66.13/japangames/images/japan_mail_img66.gif" width="480" height="40" border="0"></a></td>
<td width="70"></td>
</tr>
</table>
<table width="550" border="0" cellspacing="0" cellpadding="0" align="center">
<tr>
<td><a href="http://www.gamingclubjapan.com/promotion/sweetdeal.htm"><img src="http://218.241.66.13/japangames/images/japan_mail_img67.gif" width="550" height="50" border="0"></a></td>
</tr>
</table>
</body>
</html>

ID-code:qFNon5BgHFA

Teruchanです。

当方でも同様に来ています。

内容は同様ですので、co.jpドメインにアドレス生成して
送付していると思われます。

こちらはまだ送信ホストの制限をしておりませんが
以下のホストからの送信を拒否するよう検討中です。
やまないようであれば実施してはいかがですか？

61.49.138.1〜61.49.138.255
61.49.25.1〜61.49.27.255

> 今月に入ってから，職場の存在しないアドレス宛に「最新ハッピーニュース！」というspamが大量に来てます。
> 差出人も詐称されているので，最終的にエラーメールが管理者宛に届いている状況です。
> このspamについて何か情報をお持ちの方はおられますでしょうか？

　省略

ID-code:s4dpV8D2Hww

Mokichiです。

> 当方でも同様に来ています。
>
> 内容は同様ですので、co.jpドメインにアドレス生成して
> 送付していると思われます。

　うちはco.jpドメインじゃなくてgo.jpドメインなのですが，とにかく自動生成したアドレスに来ているようですね。

> こちらはまだ送信ホストの制限をしておりませんが
> 以下のホストからの送信を拒否するよう検討中です。
> やまないようであれば実施してはいかがですか？

　とりあえず，来たことが確認されたIPアドレスやドメイン名
（sea.com，river.com 等。さすがにibm.com や bbc.com は制限してません）は気が付いた範囲で制限リストに入れてます。
ログを見ると，一日１０通強くらいは弾かれていて，２〜３通が漏れて来るという感じです。

　遡って確認してみたところ，先月の頭あたりから今回の「最新ハッピーメール」と同様の差出人・IPアドレスを用いた英語spamが来ていました。
同じグループによるものか，同じspamwareを使ったものかもしれません。

ID-code:nHGr8QFbfEs

うちにも来てます。
辞書攻撃とまでは呼べないテキトーなアドレス宛に来てます。
ムラカミspamの辞書攻撃の方がよっぽど酷いのですが・・・。
これもホント、そんなメアドが企業にあると思うのか?
ってな「使えない辞書」攻撃なので postmasterだけがムカつくという・・・。

http://bbs1.parks.jp/22/nospam/bbs.cgi?Action=kiji&Base=9676&Fx=0
使われている IPは
|61.149.25.242
|61.149.25.164
|61.149.27.217
ですが、中国とやりとりをしないのであれば
http://nayuki.homeunix.com/~stakasa/cgi-bin/proxy.cgi?query=61.148.0.0&targetnic=auto
これ丸ごと denyしちゃえばよいでしょう。


これ日本語があまりお上手ではないので、、、。
もしかして小山美智子がビジネスモデル毎売渡したとか?
そういえば最近、宣伝パック来ませんよね。
でも宣伝パックが来てたメアドに来てる訳じゃないんですよねー。

尚、わたし自身には到着してないです。

ID-code:nHGr8QFbfEs

相変らず毎日毎日続いています。
ホントうっとおしいぞ!!

うちは gamingclubjapan.com へのアクセス制限を実施しました。

メール送信に使われている cnc-noc.net はどうもシカトしているようです。
gamingclubjapan.comがある ISP、telusplanet.net もダメダメのようです。

ID-code:qFNon5BgHFA

Teruchanです、

> 相変らず毎日毎日続いています。
> うちは gamingclubjapan.com へのアクセス制限を実施しました。
> メール送信に使われている cnc-noc.net はどうもシカトしているようです。
> gamingclubjapan.comがある ISP、telusplanet.net もダメダメのようです。

こちらも、同様に続いていましたので、
送信ホストのアクセス制限を実施しました。
その結果、12/26、12/27は着信していません。

うちは中国からのメールが着信しますので、取引先および
社員のダイアルアップのIPが規制されないよう、
クラスCで設定しています。設定内容は以下の通りです。
拒否アドレス一覧
61.49.138.0
61.49.139.0
61.49.220.0
61.149.24.0
61.149.25.0
61.149.26.0
61.149.27.0

ID-code:t0S.OnizQ3c

本年1月5日、公開もしてなければ、いままで一度もスパムを受信して
いなかったアカウントに着弾。不思議に思っていたら、既にこちらに
同様なスパム報告があったんですね。こちらにきたものはタイトルが
英文で「A Great New Year !!」となっていた。

> Return-Path: <Ii16554＠system.com>
> Received: from unknown (HELO mail.system.com) (61.149.27.142)
> by aaaaaa.bbbbb.ne.jp with SMTP; 5 Jan 2004 16:25:20 +0900
> From: "鈴木" <Ii16554＠system.com>
> Subject: A Great New Year !!
> To: "Xxxxx" <Xxxxx＠YYYYY.co.jp>
> Content-Type: text/html;iso-2022-jp
> Content-Transfer-Encoding: base64
> Reply-To: Ii16554＠system.com
> Date: Mon, 5 Jan 2004 15:32:16 +0800
> X-Priority: 3
（当方アカウントは伏字使用）
以下のHTML部分は他の方と同様につき省略
anti-spam＠ns.chinanet.cn.net (ChinaNet), 上策の苦情先

> 今月に入ってから，職場の存在しないアドレス宛に「最新ハッピーニュース！」というspamが大量に来てます。
> 差出人も詐称されているので，最終的にエラーメールが管理者宛に届いている状況です。

Mokichiさん、
> 宛先
> "Junko" <Junko＠当方のドメイン>
> "Gihei" <Gihei＠当方のドメイン>
> "Ikue" <Ikue＠当方のドメイン>

確かに、当方アカウントへの着弾も「名前＠当方のドメイン」になって
ます。人名を少しアレンジしてあるアカウントに着弾がなく、素直に名
前をアルファベットにしただけのアカウントのみに着弾。これはMokichi
さんが掲示しているアドレスをみても、そうなっているようですね。

日本人を対象とした「カジノ」サイト宣伝なので、総当りというよりも
（日本人の）人名リスト＋＠xx.jp[日本国ドメイン]といったかんじで
大量に配信しているのかも。

住所表示もなく意味のない会社概要
http://www.gamingclubjapan.com/about-us.asp
support＠gamingclubjapan.com
カジノサイト宣伝
http://www.gamingclubjapan.com/promotion/sweetdeal.htm

日本語の会社概要には西洋人男女の写真があるが、内容からして日本人
がからんでいるような気がしますが、ChinaNetとくれば、確かに
Ming２１（小山美智子スパム、宣伝パック）がからんでいる線も捨て
きれない。