[掲示板に戻る] [HTML化ログ 大目次へ] [ツリー一覧0028番へ]
[ 14270 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ
Date: 2003 Sep 05 13:31:29
記事No.14270/タイトル:悪質「○レア物、幻の裏本CD通販開始○」
投稿日:2003/09/05(Fri) 13:31:29 / 投稿者:とらじま
★ツリー/親記事[14270]
-レス記事[14271][14272][14276][14277][14284][14286]

ID-code:gfXUbIYBc62

今日、geocitiesのメルアドに、続けて2つ着信しました。
片方(A)はgeocitiesのpopからメールを直接受けており、
もう片方(B)は他へ転送しています。
特にBは、全くどこにも非公開、未使用のアドレスです。
従って、geocities.co.jpに対し、メルアドを生成された可能性が
あるかと思います。
今さらgeocitiesという感じですが(笑)、古いメルアド生成名簿を買わされたのか
あるいは有名ドメインに対してどんどん生成しながら送っているのか。
他に、受け取った方、いらっしゃいますか?
受信したものはいずれもヘッダがずたずたに改竄されているようで、
解析不能な状態のようです。
(spamcopでも、対処不能という結果が出ました)
デ協には通報していますが、期待薄ですね。
参考までに、ヘッダ2つと本文をあげておきます。
ヘッダは一部違うところがありますが
本文は全く共通です。

「ヘッダA」------------------------------------------
From: ssamantrahujf@aol.com
Message-ID: <7daf01c37245$c3ab9e20$ab0da8bc@bkrir>
Reply-To: <ssamantrahujf@aol.com>
To: Customers
Subject: ○レア物、幻の裏本CD通販開始○
Date: Wed, 03 Sep 2003 18:04:05 +0000
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-2022-jp"
Content-Transfer-Encoding: 8bit
X-Priority: 3
User-Agent: AOL 7.0 for Windows US sub 118

「ヘッダB」--------------------------------------------
Return-Path: <JRBurnleyljxk@attbi.com>
Delivered-To: (転送先アドレス)
Received: (qmail 8713 invoked from network);
5 Sep 2003 03:18:57 -0000
Received: from unknown (HELO sv02.geocities.co.jp) (210.153.89.185)
by 0
with SMTP;
5 Sep 2003 03:18:57 -0000
Received: from ml03.geocities.co.jp (ml03.geocities.co.jp [210.153.89.170])
by sv02.geocities.co.jp (8.11.7/8.11.6)
with ESMTP id h853Iv450543 for <転送先アドレス>;
Fri, 5 Sep 2003 12:18:57 +0900 (JST)
Received: from attbi.com ([210.117.77.164])
by ml03.geocities.co.jp (1.3G-8.9.3/GeocitiesJ-3.0)
with SMTP id MAA01290 for <*********@geocities.co.jp>;
Fri, 5 Sep 2003 12:18:32 +0900 (JST)
From: JRBurnleyljxk@attbi.com
Message-ID: <1f8701c3734d$3acaef80$9b1d4c94@yyvsede>
Reply-To: <JRBurnleyljxk@attbi.com>
To: Customers@ml03.geocities.co.jp
Subject: ○レア物、幻の裏本CD通販開始○
Date: Fri, 05 Sep 2003 10:30:03 +0900
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-2022-jp"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.50.4522.1200
X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4522.1200

「本文」-----------------------------------
<送信者>うらほんや
このアドレスは送信専用です受付は下記アドレスでお願いします。

裏本CD通販 ☆ うらほんや ☆ からのご案内です。

当店ではブルセラ・ロリ系・SMなどレアものから最新の
無修正★裏本CD★を格安で販売致します。


★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆

_/_/_/_/_/_/_/_/_/_/_/_/_/_/
_/期間限定!売り切れ御免!_/
_/_/_/_/_/_/_/_/_/_/_/_/_/_/

CD-ROM1枚に高画質撮り下し15冊分を記録して
二枚組から販売いたします。
もちろんボカシなどのない完全無修正版です。


★☆★☆★☆★☆★資料請求はお気軽にどうぞ★☆★☆★☆★☆★

=========================================================
詳細はこちらへ送信下さい。在庫商品・サンプル画像掲載の
URLと購入方法等を無料でお知らせ致します。
【詳細希望ページ】
http://getforwarded.com/cgi-bin/mi.cgi?m=t_asahina@geocities.co.jp&md=i


=========================================================

 
◇商品は完全梱包で1週間以内に発送いたします。


皆様の御期待にお応えします。
お気軽にお問い合わせ下さい。

うらほんや
=========================================================
*今後受信を希望しない方はこちらへ
【解除ページ】
http://getforwarded.com/cgi-bin/mi.cgi?m=********@geocities.co.jp&md=r

記事No.14271/タイトル:Re: 悪質「○レア物、幻の裏本CD通販開始○」
投稿日:2003/09/05(Fri) 14:04:30 / 投稿者:管理人
★ツリー/親記事[14270]+前記事[14270]
-レス記事[14273]

ID-code:y3CHxCiT3dI

> 受信したものはいずれもヘッダがずたずたに改竄されているようで、
> 解析不能な状態のようです。
> (spamcopでも、対処不能という結果が出ました)

覚えていらっしゃるか分かりませんが、
geocitiesのヘッダがおかしくなるのはgeoサーバの不備です。
geoが一番大事なReceived:を削るので追跡は困難ですね。

http://bbs.spamstop.net/past/log/005454.html#5477

記事No.14273/タイトル:Re^2: 悪質「○レア物、幻の裏本CD通販開始○」
投稿日:2003/09/05(Fri) 15:54:01 / 投稿者:とらじま
★ツリー/親記事[14270]++前記事[14271]
-レス記事[14278]

ID-code:gfXUbIYBc62

管理人様

ありがとうございます。
geocitiesも、転送にしている場合は、ヘッダ情報が削られないはず
と思っていたのですが(^^;)
今回は、転送分もヘッダが削られていましたので、
送信者側の改竄によるものかと思っていました。
(更にその後geocities側でヘッダ情報を改悪した可能性もありますね)

と、これだけではなんなので……。

このスパム、知人のところにも次々に着信しつつあり、
geocitiesの他、anet、BBQのアドレスが被害にあっているようです。
fromはhotmail詐称版もあるようで
かなり手広くやってるように思われます(汗)。

記事No.14278/タイトル:Re^3: 悪質「○レア物、幻の裏本CD通販開始○」
投稿日:2003/09/05(Fri) 21:16:34 / 投稿者:管理人
★ツリー/親記事[14270]+++前記事[14273]

ID-code:y3CHxCiT3dI

> 管理人様
>
> ありがとうございます。
> geocitiesも、転送にしている場合は、ヘッダ情報が削られないはず
> と思っていたのですが(^^;)

 あ、申し訳ない。そういえばそういう話でしたね。
それでしたら2番目のヘッダは有効でhdparで解析できますね。

IPアドレス「210.117.77.164」のipseek簡易解析結果
 このIPアドレスは受け手側のサーバから2つ前のサーバが残した記録です。
  ほとんど信用できませんが一応、標準時刻 Day5-3:18:32 に残したことになっています。
SOA root@ns.thrunet.com 中策 ---> www.thrunet.com
ABUSENET abuse@thrunet.com (for thrunet.com), 上策の苦情先
ABUSENET postmaster@thrunet.com (for thrunet.com)
WARNING mail <ns.thrunet.com> no responce
ABUSENET spamrelay@certcc.or.kr (for thrunet.com)

 Geekでも分かりますが韓国のネット業者のようですね。

http://afelandra.com/~stakasa/cgi-bin/proxy.cgi?query=210.117.77.164&targetnic=auto&det=on

記事No.14272/タイトル:Re: 悪質「○レア物、幻の裏本CD通販開始○」
投稿日:2003/09/05(Fri) 14:46:08 / 投稿者:jankari
★ツリー/親記事[14270]+前記事[14270]

ID-code:fXZww9KySfk

jankariです。

うちにも1通来ました。いつも来る非公開のアドレスに,です。
hdparに入れた結果,送信元はオーストラリアです。
SpamCopに入れました。
本文は同じなので省略します。

--------------------------------------------------------
Return-Path: <mpp31757iguq@hotmail.com>
Received: from hotmail.com (c210-49-160-237.brodm1.vic.optusnet.com.au [210.49.160.237])
by **********.net (8.12.9/8.12.9) with SMTP id h84FYNwM015143
for <**************>; Fri, 5 Sep 2003 00:34:31 +0900 (JST)
Message-ID: <56e301c3725f$24182e90$d8f29fca@cbasnnacnfbtfak>
Reply-To: <mpp31757iguq@hotmail.com>
From: <mpp31757iguq@hotmail.com>
To: Customers
Subject: ○レア物、幻の裏本CD通販開始○
Date: Thu, 04 Sep 2003 04:05:44 +0700
MIME-Version: 1.0
Content-Type: text/plain;
charset="iso-2022-jp"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106

記事No.14276/タイトル:Re: 悪質「○レア物、幻の裏本CD通販開始○」
投稿日:2003/09/05(Fri) 20:00:11 / 投稿者:tnh
★ツリー/親記事[14270]+前記事[14270]

ID-code:2G4/XKhuhwk

 数日前に着弾していました。Geektoolsの見方に慣れていないのですが、
どうも香港のようですね。速攻でspamcopに放り込んでおきました。
『iso-2022-jp』なのに『Content-Transfer-Encoding: 8bit』ってとこが
チャームポイントでしょうか。送信者の程度が知れます。


Received: from sinamail.com ([203.91.135.108])
by *****.*****.*****.jp (8.9.3p2/) with SMTP id HAA09143
for <*****@*****.*****.*****.jp>; Tue, 2 Sep 2003 07:22:31 +0900 (JST)
From: jasonlee2003mmhb@sinamail.com
Message-ID: <070e01c37046$dcef2e70$cd18e630@brrnga>
Reply-To: <jasonlee2003mmhb@sinamail.com>
To: Customers
Subject: =?ISO-2022-JP?B?GyRCIXslbCUiSiohIjg4JE5OIktcGyhCQ0QbJEJETEhOMys7TyF7GyhC?=
Date: Sun, 31 Aug 2003 23:06:55 -0600
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106
Content-Type: text/plain;
charset="iso-2022-jp"
X-UIDL: *F]!!7DG"!UA$!![^G"!

記事No.14277/タイトル:「激安!バイアグラ」と同一犯?
投稿日:2003/09/05(Fri) 21:09:37 / 投稿者:肉丸君
★ツリー/親記事[14270]+前記事[14270]
-レス記事[14283][14288]

ID-code:KJ21TmkZKI.

1 詳細希望・登録解除の方法が同じ
2 From: が共通(これはいじれますが)

以上2点から「激安!バイアグラ」スパマーと同一犯ではないかと
推測しました. さらに7月に「最高級裏ビデオが1本1000円」と
いうスパムをばらまいたスパマーと同一犯の可能性もありそうです.

記事No.14283/タイトル:Re: 「激安!バイアグラ」と同一犯?
投稿日:2003/09/05(Fri) 22:23:26 / 投稿者:はるまき
★ツリー/親記事[14270]++前記事[14277]
参照先:http://www5b.biglobe.ne.jp/~bagoma/webgmen

ID-code:W6//E.FX1RQ

2日に来ました。以下そのヘッダ。
Return-Path: <****************@sinamail.com>
Received: from rcpt-impgw.biglobe.ne.jp by biglobe.ne.jp (RCPT_GW)
id HAA25029; Wed, 03 Sep 2003 07:48:47 +0900 (JST)
Received: from sinamail.com (c210-49-160-237.brodm1.vic.optusnet.com.au
[210.49.160.237])
by rcpt-impgw.biglobe.ne.jp (nkrw/5008050603) with SMTP id h82Mmji24981
for <********@mua.biglobe.ne.jp>; Wed, 3 Sep 2003 07:48:45 +0900 (JST)
Message-ID: <674301c37106$2e8d23d0$7049f435@wtcyneeplgx>
Reply-To: <****************@sinamail.com>
From: <****************@sinamail.com>
To: Customers@rcpt-impgw.biglobe.ne.jp
Subject: ○レア物、幻の裏本CD通販開始○
MIME-Version: 1.0
Content-Type: text/plain;
charset="iso-2022-jp"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2462.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2462.0000
X-UIDL: 799690969251515F979795015F999978195F255

資料請求のURLから見る限りでは僕のところには30日にやってきた“老舗 激安☆最新裏DVD通販 ”と同じですね。

記事No.14288/タイトル:Re: 「激安!バイアグラ」と同一犯?
投稿日:2003/09/06(Sat) 09:39:11 / 投稿者:jankari
★ツリー/親記事[14270]++前記事[14277]

ID-code:fXZww9KySfk

確かに,最近うちに来たもので

> 1 詳細希望・登録解除の方法が同じ

ここがすべて同じなのは,
1.「激安!! バイアグラ」・・・メキシコ経由
2.「最高品質裏ビデオを1本1000円しかも後払い」・・・台湾経由
3.「老舗 激安☆最新裏DVD通販」・・・エクアドル経由
そして,今回の
4.「○レア物、幻の裏本CD通販開始○」・・・オーストラリア経由

です。しかも詳細希望と登録解除のURLが全く同じです。
こちらのアドレスが入れてあるところも,同じです。
Fromのところはみんな違いますが,hotmailやaolです。
Toはすべて「Customers」です。

ますます怪しいです。

記事No.14284/タイトル:Re: 悪質「○レア物、幻の裏本CD通販開始○」
投稿日:2003/09/05(Fri) 23:58:18 / 投稿者:白梟
★ツリー/親記事[14270]+前記事[14270]

ID-code:VZYXNtkShLg

 なにやらあちこちの ISP を利用してばらまいたみたいですね。
私に届いたのは、Telstra というオーストラリアの(?)業者を利用してます。
直接、対処依頼を出しました。

なお、「激安!バイアグラ」「最高級裏ビデオが1本1000円」
「老舗 激安☆最新裏DVD通販」いずれも届いていません。


Return-Path: <JRBurnleylhtb@attbi.com>
Received: from rcpt-impgw.biglobe.ne.jp by biglobe.ne.jp (RCPT_GW)
	id WAA23549; Thu, 04 Sep 2003 22:13:39 +0900 (JST)
Received: from hotmail.com ([203.46.189.46])
	by rcpt-impgw.biglobe.ne.jp (nkrw/5008050603) with SMTP id h84DDYr23440
	for <*****@mtg.biglobe.ne.jp>; Thu, 4 Sep 2003 22:13:35 +0900 (JST)
Message-ID: <******************************@r>
Reply-To: <JRBurnleylhtb@attbi.com>
From: <JRBurnleylhtb@attbi.com>
To: Customers@rcpt-impgw.biglobe.ne.jp
Subject: ○レア物、幻の裏本CD通販開始○
Date: Thu, 04 Sep 2003 15:54:09 +0400
MIME-Version: 1.0
Content-Type: text/plain;
	charset="iso-2022-jp"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.00.2919.6700
X-MimeOLE: Produced By Microsoft MimeOLE V5.00.2919.6700
記事No.14286/タイトル:こちらに着信したのは韓国経由です(Re: 悪質「○レア物、幻の裏本CD通販開始○」)
投稿日:2003/09/06(Sat) 03:28:13 / 投稿者:すずもとだっくす(鈴木 大介)
★ツリー/親記事[14270]+前記事[14270]
参照先:http://www2.tokai.or.jp/dai-suzu/index.html

ID-code:5bMnRZ5uacc

 すずもとです。

 この『○レア物、幻の裏本〜』のspamは、私のところには9月1日に着信していました。
 そして、8月の26日には『Dコレクション』も着信していました。
 両方を見比べてみるとカタログ希望(もしくは配信停止)用URLは全く同じようになっています。

 で、これら2通をhdparでは、両方ともthrunetでしたので、それぞれの対策処置願いをthrunetとコリアスパムコップに同報で送りました。
 それにしても、今回のケースの場合、コリアスパムコップへの通報は有効なのだろうか。

●参考までに

  BBS過去ログより

  『韓国迷惑メールセンターからの返事』(むーらん様筆頭)
http://bbs.spamstop.net/past/log/010504.html#10504

[掲示板に戻る] [HTML化ログ 大目次へ][ツリー一覧0028番へ]
bokumetusiteki