ID-code:5/mTVi0Io2A（本記事は投稿者自身により01/29-21:17に修正されました）

皆さん、お世話様です。

本日は、「IPが一定でないドメイン」というものが存在するのか、
皆さんのお知恵を拝借いたしたく、相談させていただきます。

というのも、有名なSpam誘導先である"Canadian Pharmacy"サイトの
苦情先ISPを検索している際、いくつかのドメインについて、
以下の現象が確認されたのです。

***********************************************************************

1.Windows の nslookup コマンドで複数のIPを返す。
それも、1時間前と現在とで結果が異なる。

2."す〜ぱ〜もの"で検索すると、その都度異なるIPを返す。

3.Spamcopで履歴を参照すると、やはりその都度異なるIP・苦情先を返す。

***********************************************************************

ここ数日で受け取った誘導先のうち、上記に該当するのは

ttp://butfew.com
ttp://determinespell.com
ttp://countrange.com

の3件なのですが、手当たり次第に処置依頼を出すというのでは、生産性が
あがらないばかりか、的外れのISPさんに文句をいってしまう恐れもありそうです。

1つのIPにいくつものドメインがぶる下がっているケースは、多くのSpam誘導先に
共通に見られるようで、これはこれで処置依頼が楽なのですが、今回のように
1つのドメインにIPがいくつも対応している（少なくともそう見える）、というのは、
正直全くのお手上げです。

よいアドバイスをいただけますと幸いです。

ID-code:u1Lvh1tSM.k

blackcat2002＠ご隠居です。

ドメイン名→ＩＰアドレス
即ち、正引きで毎回毎回違うＩＰがでる
というならば、ほぼラウンドロビンＤＮＳです。

負荷分散目的で使われるやり方のひとつです。
spamの場合は、ひとつがつぶれても別のを…
という目的でしょうから
気にせずにがしがし通報しちゃってください。

ID-code:5/mTVi0Io2A（本記事は投稿者自身により01/30-14:24に修正されました）

blackcat2002様

早速のご回答、ありがとうございます。
あるのですね、こういう手口。

気にせずにがしがし行かせていただきます。

以下、例文です。
教えていただいたばかりの"ラウンドロビンDNS"という言葉を
さも熟知しているかのごとく使っていますが、ご了承下さい。

**************************************************************************************************************

[件名]

Please exterminate "Canadian Pharmacy" invading your server

[本文]

Dear Sir/Madame.

I have received some Unsolicited Commercial E-mails(spam-mails) associated to the following websites of notorious "Canadian Pharmacy".

ttp://butfew.com
ttp://determinespell.com
ttp://countrange.com

They might be abusing "Round robin DNS".
And according to the result of the nslookup command of Windows the following IPs of your company are invaded by them.

○○○.○○○.○○○.○○○
×××.×××.×××.×××
△△△.△△△.△△△.△△△

It's true the spam-mails themselves have NOT been sent from the domain of your company.
But it would be very thankworthy if you could investigate this problem and exterminate "Canadian Pharmacy".

I have attached the e-mails.

Yours faithfully.

**************************************************************************************************************

ID-code:5/mTVi0Io2A

3週間ほど前の投稿で、blackcat2002様よりラウンドロビンDNSの
手口について教えていただきましたが、ここに来て、この手を
使った"Canadian Pharmacy" のSpamが激増。

どう見てもデタラメのドメイン名としか思えないサイトを
誘導先として、ガツガツ送ってきやがります。

2008/2/14　4件
2008/2/15　6件
2008/2/16　9件
2008/2/17　4件
2008/2/18　8件

ただし、ここに来て、IPがほぼ安定してきた感がありますので、
苦情先とともに一覧にしておきます。

同種のSpamで依頼先をお探しの方は、参考にしてみて下さいませ。

苦情先は、nslookupの検索結果をGeekToolsに放り込み、さらに
SpamCopの判定を加味したものです。

全部で20件しかないのは、ひょっとするとnslookupの仕様なのかも
しれません(?)。

なお、ラウンドロビンDNSの場合、SpamCopでは、1回の入力で、
どこか1件の苦情先に対してだけ通報してくれるようです。
SpamCopに頼り、かつ、いくつもの苦情先に通報したいのであれば、
送信元のチェックを外した上で、何度も入力するしかなさそうです。


-----------------------------------------------------------------------------------------
[IP]　　　　　　　　苦情先
-----------------------------------------------------------------------------------------

[218.254.94.230]　　abuse＠cms.hkcable.com
[218.254.244.234]　 abuse＠cms.hkcable.com
[222.166.246.35]　　abuse＠cms.hkcable.com

[59.7.195.110]　　　abuse＠kornet.net
[211.227.127.37]　　abuse＠kornet.net

[93.80.5.199]　　　 abuse＠corbina.net
[93.80.17.194]　　　abuse＠corbina.net

[123.202.84.179]　　abuse＠ctimail.com;abuse＠hkbn.net;fionat＠ctihk.com
[203.186.234.109]　 abuse＠ctimail.com;abuse＠hkbn.net;fionat＠ctihk.com

[69.86.205.124]　　 abuse＠abuse.earthlink.net

[72.191.42.176]　　 abuse＠rr.com

[78.99.217.212]　　 abuse＠telecom.sk

[85.216.215.55]　　 abuse＠chello.sk

[87.123.232.17]　　 abuse＠versatel.de;abuse＠ddkom.de;abuse＠chemtel.de;abuse＠ddkom.net

[90.151.139.100]　　smelik-av＠mfist.usi.ru;kokorin-syu＠mfist.usi.ru

[124.218.109.167]　 adm＠aptg.com.tw

[125.233.92.37]　　 spam＠ms1.hinet.net;network-adm＠hinet.net;network-center＠hinet.net

[213.247.172.97]　　msvfp＠tut.by

[219.250.26.242]　　abuse＠hanaro.com

[221.127.232.238]　 abuse＠on-nets.com

-----------------------------------------------------------------------------------------

ID-code:5/mTVi0Io2A

誘導先にラウンドロビンDNSの手口を使った"Canadian Pharmacy"のSpam。

ここ1週間の経過を報告させていたくと

2008/2/14　4件
2008/2/15　6件
2008/2/16　9件
2008/2/17　4件
2008/2/18　8件
2008/2/19　6件
2008/2/20　1件

と、今日になってなぜかペースダウン。

面白いことに、2008/2/14〜2008/2/19までの37件のSpamは
「粗製乱造的な1行文章」「デタラメなドメイン名」を特徴にしておりましたが、
本日の1件は、「洗練された長文」「スマートなドメイン名」という印象。

別ルートなのかも知れません。

>粗製乱造型サンプル
> Improve your life risk-free! ttp://aev.gonebox.com

>洗練型サンプル
>Want to be deeply appreciated by your partner? Here is the secret!
>Feel your overflowing desire to bring happiness and pleasure to your partner by being you >completely and by being that
>strong loving man that you are.
>Well, here is THAT WE GOT FOR YOU that is just one tip for increasing your sexual energy:
>increase virility and stamina;
>improved sexual performance;
>natural male enhancement.

>ttp://elementmelody.com


なお、前回の投稿で、誘導先の管轄ISP（nslookupの返り値）が安定してきた旨
報告いたしましたが、ここ2日で状況一変（当サイトへの投稿直後に状況が変化する、
読みのハズレが露呈する、というのが、最近の私のジンクスになりつつあります）。

ISPさんの苦情処理が追いつかないくらいのペースで新たな"Canadian Pharmacy"が
生まれている印象です。

粗製乱造Spamといい、サイトの増殖力といい、"Canadian Pharmacy"に力を誇示
されている感じすら受けますが、相手はある意味世界的に悪名高いSpammer。
特に誘導先にもbotnetの手口を用いることが知られているようで、対処依頼に対しては、
送信元、誘導先のISPさんが比較的真剣に対応して下さるようです。

実際、ここ1週間、ISPさんからご返答をいくつもいただきましたし、2〜3週間前に
対処依頼したいくつかのサイトが既に消滅していることをrobtexのサイトで確認する
こともできました（ttp://www.robtex.com/）。

やはり、最後に頼るべきはISP、なのかも知れませんね。


（追記）
　前回の投稿で苦情先アドレスをそのまま書き込みする、という初歩的なルール違反を
　してしまいました。本日ハッと気づき、修正しようとしましたところ、＠を全角に
　変換して下さっていたようで、本当に助かりました。
　この場を借りてお詫び申し上げます。