SPAM Database
蓄積したデータを元に、迷惑メールの本文に記載されたリンク先サイトを分析しました。
IP-Address、レジストラなど、複数の要素の一致が同一犯と言える根拠にはなりませんが、相互に何らかの関係がある可能性は否定できないと思います。
※ DDNS は、ほぼ毎日 IP-Address が変わります。記載のアドレスが必ずしも最新とは限りません。
| 送信者(運営者)が同一と思われるサイト(アダルト・ワンクリック詐欺系) | |||
|---|---|---|---|
| ドメイン名 | IP-Address(DDNS) www | Webサーバーアドレス www1 | レジストラ |
| bf74.com | 211.3.128.166 | 61.198.210.173 | 21-domain |
| ej19.com | 211.3.128.166 | 61.198.211.85 | 21-domain |
| hy49.net | 222.12.149.71 | 210.255.74.133 | 21-domain |
| avcom55.net | 61.198.210.173 | 210.238.191.137 | 21-domain |
| hehe-kiki.net | 222.3.75.184 | 210.238.191.136 | Doレジ |
| av-69.net | 61.198.208.178 | 210.238.191.132 | デジロック |
| xs27.net | 222.12.152.18 | 210.233.13.42 | デジロック |
| eromovlive.com | 61.198.208.178 | 210.233.13.34 | Doレジ |
| jpsexy.net | 222.12.154.182 | 210.233.13.38 | Doレジ |
| amateurav.com | 222.12.150.188 | 210.233.13.43 | Doレジ |
| tsumaav.com | 222.12.150.188 | 210.233.13.45 | Doレジ |
| av-muse.com | 61.198.208.178 | 210.233.13.37 | Doレジ |
| kan19.net | 61.198.208.178 | 210.233.13.35 | Doレジ |
| p-av.net | 222.12.150.188 | 210.233.13.44 | Doレジ |
| jotey.com | 61.198.208.178 | 210.233.13.34 | Doレジ |
| av-ch.net | 61.198.208.178 | 210.238.191.138 | Doレジ |
| ad-mov.com | 222.12.154.205 | 210.238.191.131 | Doレジ |
| eleul.com | 218.222.25.4 | 210.255.170.189 | Doレジ |
| dddxh.com | 61.198.210.124 | 210.255.170.188 | Doレジ |
| eeblb.com | 222.1.45.3 | 210.255.168.252 | Doレジ |
| ooobo.com | 218.222.11.196 | 210.255.168.251 | Doレジ |
| nnnxp.com | 218.222.11.196 | 210.255.170.186 | Doレジ |
| iiygy.com | 218.222.17.167 | 210.255.168.250 | Doレジ |
| qxxiq.com | 211.126.63.209 | 59.157.183.158 | Doレジ |
| gjjqg.com | 218.222.11.196 | 59.157.183.157 | Doレジ |
| qtqct.com | 218.222.11.196 | 59.157.183.156 | Doレジ |
| ppeme.com | 61.198.219.65 | 59.157.183.165 | Doレジ |
| qxxqq.com | 222.1.47.158 | 59.157.183.162 | Doレジ |
| grgxr.com | 61.198.208.40 | 59.157.183.155 | Doレジ |
| oqobq.com | 222.1.47.158 | 59.157.183.154 | Doレジ |
| mmpip.com | 222.1.47.158 | 59.157.183.158 | Doレジ |
| jjjsm.com | 222.1.41.30 | 59.157.183.165 | Doレジ |
| qqqtg.com | 222.12.149.182 | 59.157.183.157 | Doレジ |
| fffhp.com | 222.12.149.182 | 59.157.183.164 | Doレジ |
| pjjbp.com | 222.1.41.30 | 59.157.183.156 | Doレジ |
| nnili.com | 222.12.149.182 | 59.157.183.162 | Doレジ |
| efeqf.com | 222.3.78.234 | 210.249.82.243 | Doレジ |
| rrrij.com | 222.3.78.234 | 210.249.83.187 | Doレジ |
| ggysy.com | 61.198.219.115 | 210.249.82.245 | Doレジ |
| nnoso.com | 61.198.222.118 | 210.249.82.246 | Doレジ |
| mddvm.com | 61.198.222.118 | 210.249.83.188 | Doレジ |
| qqqyo.com | 222.12.151.220 | 210.249.83.187 | Doレジ |
| jojlo.com | 222.12.151.220 | 210.249.82.244 | Doレジ |
| eests.com | 222.12.151.220 | 210.249.82.242 | Doレジ |
| margwe.com | 222.12.151.220 | 210.249.83.189 | Doレジ |
| pryied.com | 61.198.222.118 | 210.249.82.243 | Doレジ |
| rujyer.com | 61.198.222.118 | 210.249.83.186 | Doレジ |
| hywmn.com | 61.198.222.118 | - | Doレジ |
| astelh.com | 61.198.222.118 | 210.249.82.246 | Doレジ |
| dojeky.com | 61.198.222.118 | 210.249.83.189 | Doレジ |
| digi-tube.com | 61.198.222.118 | 218.219.148.1 | デジロック |
| heljkn.com | 222.12.151.220 | 210.249.83.190 | Doレジ |
| kfreht.com | 61.198.222.118 | 210.249.83.190 | Doレジ |
| iveoke.com | 222.12.151.220 | 210.249.83.190 | TUCOWS, INC. |
| 送信者(運営者)が同一と思われるサイト(アダルト・ワンクリック詐欺系) | |||
|---|---|---|---|
| ドメイン名 | IP-Address(DDNS) | Webサーバーアドレス | レジストラ |
| fgter.com | 61.110.71.195 | 210.249.53.35 | DOMAIN 21 |
| kerfd.com | 61.110.71.195 | 210.249.53.35 | DOMAIN 21 |
| hwrws.com | 61.110.71.197 | 210.249.53.36 | DOMAIN 21 |
| ureqky.com | 61.110.71.197 | 210.249.53.46 | DOMAIN 21 |
| vgkwu.com | 61.110.71.197 | 210.249.53.36 | DOMAIN 21 |
| mcnsd.com | 61.110.71.198 | 221.184.238.107 | DOMAIN 21 |
| cbehs.com | 61.110.71.198 | 221.184.238.107 | DOMAIN 21 |
| 送信者(運営者)が同一と思われるサイト(アダルト・ワンクリック詐欺系) | |||
|---|---|---|---|
| ドメイン名 | IP-Address(DDNS) | Webサーバーアドレス | レジストラ |
| bruaju.com | 61.110.71.196 | 210.231.64.184 | TUCOWS, INC. |
| miofey.com | 61.110.71.196 | 210.231.64.184 | 21-domain |
| yeqjak.com | 61.110.71.197 | 210.249.53.46 | 21-domain |
| swekle.com | 61.110.71.198 | 210.249.53.47 | 21-domain |
| jazlbl.com | 61.110.71.198 | 210.249.53.47 | 21-domain |
| 送信者(運営者)が同一と思われるサイト(アダルト・ワンクリック詐欺系) | |||
|---|---|---|---|
| ドメイン名 | IP-Address(DDNS) | Webサーバーアドレス | レジストラ |
| megabankforav.com | 61.110.71.196 | 219.67.181.132 | デジロック |
| hamekura.com | 61.110.71.197 | 59.157.245.198 | デジロック |
| angelsabc.com | 61.110.71.198 | 59.157.245.198 | デジロック |
| okazustation.com | 61.110.71.198 | 59.157.245.198 | デジロック |
いづれも最初のリンク先サイトのソースを表示すると、<frameset>タグで別ホストから実在のページを呼び出しているのが判る。
<frameset> <frame src="http://www.fgter.com/?" /> <noframes>このページはフレーム対応のブラウザでご覧ください。</noframes> </frameset>
ソースを見られないように右クリックを無効化しているのも特徴。上記のアダルト・ワンクリック系のサイトはダイナミックDNSを悪用しているので一定期間を過ぎるとIP-Addressが変わり、上記のIP-Addressは、nslookupによる「逆引き」も正常に行うことが出来ない。
「fgter.com」のネームサーバー情報を nslookup にて 「set querytype=ns」オプションをつけて調べてみます。
> set querytype=ns
> fgter.com
Server: ***
Address: ***.***.***.***
Non-authoritative answer:
fgter.com nameserver = ddns.volbon.com
fgter.com nameserver = ddns.voldon.com
fgter.com nameserver = ddns.volbon.com
fgter.com nameserver = ddns.voldon.com
ddns.volbon.com internet address = 202.131.43.66
ddns.voldon.com internet address = 210.182.83.66
>
問い合わせの結果から ddns.voldon.com がDDNSのサーバーであることが判ります。
ドメイン名の voldon.com をWhoisで調べると、やはり DOMAIN 21 が一枚噛んでいる模様。
Registration Service Provider: DOMAIN 21 Registration Services, nic@my.domain-21.net http://www.maplearts.net/service/domain21.html This company may be contacted for domain support questions in Japanese. Registrar of Record: TUCOWS, INC.
これら問題サイトのドメインを管理していたレジストラ「DOMAIN 21:(有)愉快堂出版 http://www.domain-21.net/」は、2006/12月をもって事業を停止し、DOMAIN21 が管理していたドメインは、今後(株)ヒューメイアレジストリによって管理される事になっているようです。
| タイを拠点とした出会い系詐欺サイト | ||
|---|---|---|
| ドメイン名 | IP-Address | サーバー設置国 |
| dream-s.net | 203.155.19.100 | タイ |
| man-and-w.com | 203.155.19.101 | タイ |
| ai-cul.com | 203.155.19.104 | タイ |
| dear-love2.com | 203.155.19.106 | タイ |
| real-st.net | 203.195.103.169 | タイ |
| romans2.com | 203.195.103.165 | タイ |
上記のサイトは、登録を促すメールを毎日十数通づつ送信してくる。
送信の解除要求をしても無視され、次々に別のサイトを開設し同じ内容のメールを送信して来る。
上記サイトも同一組織、もしくは協力関係にあると思われる。特に koi-tomo.com は、携帯電話をターゲットにした出会い系詐欺の迷惑メールを発信している。
| Webサーバーの同一性(出会い系詐欺) | |||
|---|---|---|---|
| ドメイン名 | IP-Address | サーバー設置国 | レジストラ |
| utfk.com | 61.110.71.136 | 韓国 | TTpia.com(韓国) |
| vqlh.com | 61.110.71.132 | 韓国 | TTpia.com(韓国) |
| xbja.com | 61.110.71.133 | 韓国 | TTpia.com(韓国) |
| vlzh.com | 61.110.71.138 | 韓国 | TTpia.com(韓国) |
| vjfn.com | 61.110.71.137 | 韓国 | TTpia.com(韓国) |
上記のサイトは、いづれもsmtp** (Coremail) 経由で迷惑メールを送信してくる。サーバーのアドレス、レジストラなども一致することから同一犯の可能性が極めて高い。
共通のメールアドレスを使い送信され、件名の付け方にも共通性が見られる。
| Webサーバーのリダイレクト(出会い系詐欺) | ||||
|---|---|---|---|---|
| リンクドメイン名 | IP-Address | リダイレクト先ドメイン | IP-Address | |
| white-parasol.com | 64.74.96.243 | → | pureism.net | 59.188.13.181 |
| vividkuru.com | 69.25.142.3 | → | koimore.com | 59.188.13.180 |
| emotinalb.com | 69.25.142.3 | → | mo-ve.net | 59.188.21.245 |
上記のサイトは、いずれもメールに記載されたサイトにアクセスすると、強制的に別のサイトにリダイレクトされる。リダイレクト先のホストは全て日本国内に設置されている。メール本文、最初の誘導先アドレス、リダイレクト先に共通性が見られ、すべて同一犯の可能性が高い。
| Webサーバーの同一性(出会い系詐欺) | |||
|---|---|---|---|
| ドメイン名 | IP-Address | サーバー設置国 | レジストラ |
| re-laxy.com | 59.188.13.180 | 香港 | ? |
| koimore.com | 59.188.13.180 | 香港 | ? |
| vividkuru.com | 64.74.96.243 | koimore.comへリダイレクト | (株)デジロック |
| サイトのデザイン、Webサーバーの同一性(出会い系詐欺) | |||
|---|---|---|---|
| ドメイン名 | IP-Address | サーバー設置国 | レジストラ |
| soku-ai.net | 219.97.27.192 | 日本 | (株)デジロック |
| kiss093.in | 219.97.27.192 | 日本 | ? |
| Webサーバーの同一性(出会い系詐欺) | |||
|---|---|---|---|
| ドメイン名 | IP-Address | サーバー設置国 | サーバー提供者 |
| 1234av.net | 61.12.207.75 | 日本 | フリービット(株) |
| 3313ac.com | 61.12.207.75 | 日本 | フリービット(株) |
| 8848ac.net | 61.12.207.75 | 日本 | フリービット(株) |
| 1234av.com | 61.12.207.75 | 日本 | フリービット(株) |
| 1132ac.com | 61.12.207.75 | 日本 | フリービット(株) |
| 4321av.net | 61.12.207.75 | 日本 | フリービット(株) |
| 迷惑メールの送信者名が同一(出会い系詐欺) | |||
|---|---|---|---|
| 送信者名 | ドメイン名 | IP-Address | サーバー設置国 |
| 藤田昌美 | vicp.cc | 58.8.12.191 | タイ |
| 藤田昌美 | now-on-site.com | 64.74.96.243 | Internap Network Services |
| 送信者名、送信者アドレスはいくらでも詐称出来るので、必ずしも同一犯とは限らないが、誘導手段、本文内容の傾向が一致すれば同一人物(組織)の可能性が高くなる。 | |||
出会い系サイトの様に会員登録を募る迷惑メールの最初の発信元は、単なるアンテナサイトである場合がほとんどです。アンテナサイトが閉鎖されても、別のサイトで運営を続けダメージを最小限に留めると共に、当局の追求を逃れる目的でこのような形態をとっていると思われます。
