ID-code:BuQ/RXi7jSs

ここ半年以上SPAM-COPを使ってSPAMに関する苦情を
出しています。先週あたりから急激にSPAMが
増え、だいたい一日８０件〜１００件程度になりました。

しかし、その中身を見てみると、面白い現象が見られます。

SPAMMERの宣伝しているサイトは、今まで複数の中国系
ＩＳＰ所属のサイトでした。しかしここ２週間くらいの間に、
多くの中国系ＩＳＰがSPAMに対して厳しい措置をとるように
なったらしく、SPAMMERが安心して（？）使える中国系ＩＳＰは
ほとんどなくなってきたようなのです。

現に、今までSPAM-COPに出すと表示された中国系ＩＳＰが
ほとんど出てこなくなり、出てきた場合でも、
苦情メールの送付先が今までと違って多数のスタッフ
が受け取るようになっており、明らかにＩＳＰがSPAM撲滅に
動き出していることがわかります。

そのような事情もあってか、送られてくるSPAMの
６０％〜８０％が、chinanet.cn.netに所属するサイト、
あるいは、chinanet.cn.net所属のＩＰアドレス、
という、一つのプロバイダに異常に偏った状態になっています。

もはやchinanet.cn.netくらいしか安心して使えない
状況にまで追い込まれているのだと思いますが、
このchinanet.cn.netは、"Spammer friendlyな"
ＩＳＰらしく、SPAM-COPでは、直接苦情を送らず
SPAM-COP内に苦情を溜め込む措置にしているようです。

しかし、一日６０〜７０件もchinanet.cn.net所属の
サイトに関するSPAMが送られてくるのは耐え難いので、
SPAM-COPを通さず直接anti-spam＠chinanet.cn.net
などに苦情を送っています。多少改善は見られて、
徐々にSPAMサイトが閉鎖されているようですが、
その対応は遅く、苦情メールのせいで閉鎖しているのか
どうかさえわかりません。


chinanet.cn.net に関しては以前もこのサイトで議論に
なったことがあるようですが、世界中から苦情が来ているようで、
公式ホームページさえ表示できない状態になっており
(www.chinanet.cn.netにアクセスしても応答がない）、
にもかかわらず、SPAMMERの使用するサイトは次々と
増設されているという状態になっているわけです。


もし、対応がぬるいようなら上位組織に対して苦情メールを
送ろうかと思っています。調べると、chinanet.cn.net　は
チャイナテレコムの傘下にあるようなのですが、詳しい上位組織
がわかりません。またサーバー提供などを目的として
米国に支社を設けているようなのですが、ここが悪質な
スパマーのサイトをどんどん増設しているのかもしれません。

chinanet.cn.netについての何か詳しい情報、あるいは
対処法などの情報があればご教授ください。お願いいたします。

ID-code:nHGr8QFbfEs

> ＩＳＰ所属のサイトでした。しかしここ２週間くらいの間に、
> 多くの中国系ＩＳＰがSPAMに対して厳しい措置をとるように
> なったらしく、SPAMMERが安心して（？）使える中国系ＩＳＰは
> ほとんどなくなってきたようなのです。

少し関係があるのかな？
■中国インターネット協会　スパムメールの発信元「ブラックリスト」公表　656件（人民日報）
　http://fpj.peopledaily.com.cn/2004/02/20/jp20040220_36818.html
| 公表された656件のアドレスは、中国大陸のものが62件、台湾が65件、香港が6件、国外が523件。
ってのは中国当局の検閲後の内容なのかな？

ID-code:C0K5Y4aqzJw

> ■中国インターネット協会　スパムメールの発信元「ブラックリスト」公表　656件（人民日報）
> 　http://fpj.peopledaily.com.cn/2004/02/20/jp20040220_36818.html
> | 公表された656件のアドレスは、中国大陸のものが62件、台湾が65件、香港が6件、国外が523件。
> ってのは中国当局の検閲後の内容なのかな？

これですが、「中国インターネット協会」のＨＰに
そのリストがありました。

http://www.isc.org.cn/20020417/ca226065.htm

唖然です。全部は見ていませんが、どうも一番ひどい
chinanet.cn.netがはずされているようです。

こういう欺瞞的リストは許せないので、同協会に
実態の送付とともに抗議しようと思っています。

ID-code:BuQ/RXi7jSs

本日、SPAMが激減したのですが、その途端、chinanetから
直接、私のIPアドレスへ頻繁なアクセスが始まっています。
どうすればよいのか困っています。

まず、経緯を説明します。

最初の投稿の件は、同じ業者の同じSPAMメールが毎日６０件
近く送られてきたことが問題でした。サイトはすべて
chinanet.cn.netに所属しており、ドメイン登録を見ると
全部同じ米国の業者でした。

SPAM-COPでは、chinanet.cn.net宛の苦情は出さないか、
溜め込むようになっているため、苦情を出してもまったく
改善が見られませんでした。そこで、直接chinanet.cn.netに
対して苦情メールを毎日送り続けました。

３，４日で、そのSPAMMERのサイト数個が全部つぶれたのですが、
その間に新しいドメインとIPアドレスを取得したらしく、
また新しいURLで同じメールを送ってきました。

そこで、問題のURL一覧と、ドメイン登録の業者名、住所、
さらに、それら全部がchinanet.cn.netに所属していることを
書き加え、「大量SPAMメール攻撃」を止めること、
そのような業者に今後ＩＰアドレスを供給しないこと、を
要請して、また毎日５０件近く苦情メールを直接送り続けました。
対応が遅いので、単にフィルターで削除されてる可能性も
あり、SPAM-COPと直接メールの両方で苦情を送りました。

それを４，５日やったところ、本日になって、問題のSPAMメールが
突然半分以下に激減しました。それと同時に、本日chinanetに
送った苦情メール十数通が「Spoolが満杯」を意味するらしい
中国語メッセージの自動返信メールで返ってきました。まだ、
問題のSPAMは一日２０件以上同じメールを送ってきている状態です。

そして、本日、自分の使っているブロードバンドルーターへの
アクセスログみたところ、こんなものが。

15:58:37 2004/03/03 JST Access From:WAN, IP=218.30.29.205
20:40:45 2004/03/03 Access From:WAN, IP=218.67.116.68 Protocol=TCP
21:12:25 2004/03/03 Access From:WAN, IP=218.30.29.182 Protocol=TCP

最初の218.30.29.205からはかなり頻繁にアクセスがあったので、chinanetのhostmasterに苦情を送るとともに、直接httpでアクセス
してみました。なんと、chinaidcという組織の公式ページの
アドレスでした。中国語なのでよくわかりませんが、どうも、
サーバーを貸すサービスなどをやっている、chinanetの下部組織
のようなのです。

私はADSLなので、回線をしばらく切って、ＩＰアドレスを変えた
ところ、しばらくそのアクセスはなくなったようでしたが、
どうやって見つけたのか、またアクセスしてきてます。

ウィルスやスパイウェアが入り込んでいないかチェックを
かけてみましたがとりあえず見つかりませんでした。

ルーターに対してTCPでアクセスをかけているのですが、
何をやろうとしているのかわかりません。非常に不気味です。
私のルーターはパケットのログまでは見れないので、
どうしようかと悩んでいます。

同様の経験をされた方いらっしゃいますでしょうか。
またこういう場合、どうすればよいのでしょうか。

ID-code:1iePzJvyQkw

長らくご無沙汰しております。ねここねこです。

chinanet.cn.netからのアクセスの件ですが、苦情メールとは関係ないかと思われます。
と言いますのも、当方個人的にweb server,mail server を立ち上げて常時接続で運営しております。
その関係でアクセスログ等詳細に保存しております。そして大島様同様chinanet.cn.netからのアクセスも記録されています。

ここ数日のアクセスパターンを分析する限り、某ウィルスによる特定ポートへの攻撃がほとんどです。（約４０件/日）

大島様に対するアクセスが当方と同じであるとは断言いたしませんが、過去の統計からchinanet.cn.net含む中国系のユーザはウィルス対策等遅れがち（又は対策していない）となる傾向があります。

セキュリティパッチの適用、ウィルスパターンの更新、及びルータ設定にてchinanet.cn.netのIP自身拒絶する等の措置が懸命です。

PS.セキュリティ上の問題がありますのでchinanet.cn.netからのアクセスパターン公開は自粛させていただきます。
＃ｓａｇｅ

ID-code:pYbEglbHZtY

ねここねこ様、情報ありがとうございました。
たしかに定期的にルーターのログを確認していなかったので、
前から来ていたかとうかわかりません。少し安心しました。
＃ｓａｇｅ

ID-code:t0S.OnizQ3c

ねここねこさんご指摘の通りではないかと思います。

小生も自宅サーバらしきものをたててますが、チェックにきている
IPアドレスのほとんどが中国系。やっていることは、バックドアが
あいていないかと、SMTPサーバがオープンになっていないかのチェ
ックです。ログを統計処理しているわけではないが、感覚的には８〜
９割以上のIPが中国系。

彼らは、特定のIPをターゲットにチェックにくるわけではなく、使
える（設定の甘い）サーバがないかどうか、指定ブロックを順番に
スキャンをかけているものと推測してます。

自宅サーバらしきものなので、中国系のIPアドレスをブロック単位
でばっさり接続拒否しても問題なかろうと考えてますが、どなたか
中国系のIPアドレスのブロック、ご存知の方、ご教示いただけると
助かります。

ID-code:no_id

はじめまして. しげゆきと申します.

> でばっさり接続拒否しても問題なかろうと考えてますが、どなたか
> 中国系のIPアドレスのブロック、ご存知の方、ご教示いただけると
> 助かります。

APNICのウェブサイトで検索できます.

[例]
http://cgi.apnic.net/apnic-bin/ipv4-by-country.pl?country=cn

GETのパラメータ country= に続く文字列は国コードです.

ID-code:t0S.OnizQ3c

> はじめまして. しげゆきと申します.
中略
> APNICのウェブサイトで検索できます.

ありがとうございました。
まとめられそうなブロックをまとめて、ばさっと拒否設定しとこうと
思います。

ID-code:C0K5Y4aqzJw

sakyosa様、しげゆき様、情報ありがとうございます。

最初の投稿をした翌日から、問題の業者のメールはパッタリ来なくなったん
ですが、本日、また再開しました（苦笑）。

しかし、今回のものは所属ＩＳＰが違います！　chinanetからではありません。　
この業者、今まで、ドメインを次々と変えながらも、所属はずっと
chainanet.cn.netのままでした。

一連のＳＰＡＭメールが、全部同じ米国の業者によって送られている
ことを、ドメインを調べて一覧にして送りつづけたことで、chinanet側が
その業者にＩＰアドレスを付与しなくなったということだと思います。
これは一つの成果だと思っています。chinanetも対応するんで
すね〜（と初めて知りました）。

Spool満杯で苦情メールが返って来たのは、中国語でよくわからなかった
のですが、よく調べたら、SPAM-COP経由で送った別の中国系ＩＳＰから
返って来たものでした。chinanetの苦情メールが戻ってきたわけでは
なかったようです。