大好物のスパムがきたので晒す!
ということで、大好物のスパムが来たのでここで晒します。
subject
常確認のお願い
本文
いつもお世話になっております。
お客様のアカウントは何らかの取引に利用されている恐れがありますので、お手数ですが、システムにログインして、異常がないかご確認いただきますようお願いします。 :
http://secure.square-enix.com/account/app/svc/Login.htm?cont=account=112&cg=1&no=856
株式会社スクウェア·エニックス
2014年12月12日
ヘッダー
Return-Path: <cdbn@evz.org>
X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on mx.bbbbccc.com
X-Spam-Level: *********
X-Spam-Status: No, score=9.1 required=13.0 tests=BAYES_50,CONTENT_TYPE_PRESENT, HTML_MESSAGE,MULTIPART_ALTERNATIVE,NO_RECEIVED,NO_RELAYS,QENCPTR2, TVD_SPACE_RATIO_MINFP,URIBL_BLACK,URIBL_DBL_SPAM,UTF8,XPRIO autolearn=no version=3.3.1
X-Original-To: kkkbbbaaa@bbbbccc.com
Delivered-To: kkkbbbaaa@bbbbccc.com
X-Virus-Scanned: amavisd-new at bbbbccc.com
X-DomainKeys: Sendmail DomainKeys Filter v1.0.1 mx.bbbbccc.com 53B65688C6E
Message-ID: <079085A33B58F55D5DBF0E6304183EA9@evz.org>
X-DomainKeys: Sendmail DomainKeys Filter v1.0.1 mx.bbbbccc.com F1BBC688001
From: “autoinfo_jp@account.square-enix.com” <autoinfo_jp@account.square-enix.com>
To: <kkkbbbaaa@bbbbccc.com>
Subject: 常確認のお願い
Date: Tue, 10 May 2011 17:52:53 +0800
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary=”—-=_NextPart_000_0F90_013914F8.1D7946C0″
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512
サーバアクセスログ
---- 検索結果 ----
Dec 12 14:29:10 mx postfix/cleanup[17420]: F1BBC688001: message-id=<079085A33B58F55D5DBF0E6304183EA9@evz.org>
Dec 12 14:29:10 mx postfix/cleanup[17420]: 53B65688C6E: message-id=<079085A33B58F55D5DBF0E6304183EA9@evz.org>
Dec 12 14:29:10 mx amavis[16675]: (16675-09) Passed CLEAN {RelayedInbound}, [216.127.176.225] <cdbn@evz.org> -> <mx.bbbbccc.com>, Message-ID: <079085A33B58F55D5DBF0E6304183EA9@evz.org>, mail_id: 7mPVbwlVxrxU, Hits: -, size: 2733, queued_as: 53B65688C6E, 154 ms
Dec 12 14:29:10 mx spamd[11422]: spamd: processing message <079085A33B58F55D5DBF0E6304183EA9@evz.org> for aaaaaaa:502
Dec 12 14:29:12 mx spamd[11422]: spamd: result: . 9 – BAYES_50,CONTENT_TYPE_PRESENT,HTML_MESSAGE,MULTIPART_ALTERNATIVE,NO_RECEIVED,NO_RELAYS,QENCPTR2,TVD_SPACE_RATIO_MINFP,URIBL_BLACK,URIBL_DBL_SPAM,UTF8,XPRIO scantime=2.5,size=2946,user=aaaaaaaa,uid=502,required_score=13.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=37224,mid=<079085A33B58F55D5DBF0E6304183EA9@evz.org>,bayes=0.500003,autolearn=no
---- 検索結果終了 ----
ディスろう!!
まず、subject:常確認のお願い つねかくにんのおねがい?
つねかくにん? 常に確認しろと? じょうかくにん?
上トロみたいなもの?
サーバが立っている先として
名前: secure.square-enix.com
Address: 124.150.158.110
逆引きはできないっと
*** google-public-dns-a.google.com が 124.150.158.110 を見つけられません: Non-ex
istent domain
国内にサーバが立ってるようですね。
| IPアドレス | 124.150.158.110 |
|---|---|
| ホスト名 | 対応するホスト名がありません。 |
| IPアドレス割当国 |
日本 ( jp ) |
むむ!!本当のスクェアエニックスなのか?
そんな訳ないと思うので、さらに詳細調査Timeアウトしてサーバからの応答がないですね。
Network Information: [ネットワーク情報] a. [IPネットワークアドレス] 124.150.152.0/21 b. [ネットワーク名] SQUARE-ENIX f. [組織名] 株式会社スクウェア・エニックス g. [Organization] SQUARE ENIX CO., LTD. m. [管理者連絡窓口] MT10731JP n. [技術連絡担当者] TM16287JP n. [技術連絡担当者] XZ255JP n. [技術連絡担当者] JP00011953 p. [ネームサーバ] dns1.square-enix.net p. [ネームサーバ] dns2.square-enix.net p. [ネームサーバ] dns3.square-enix.net p. [ネームサーバ] dns4.square-enix.net [割当年月日] 2009/09/11 [返却年月日] [最終更新] 2010/02/18 17:50:59(JST) 上位情報
ドメイン情報
Domain Name: SQUARE-ENIX.COM Registrar: GMO INTERNET, INC. DBA ONAMAE.COM Whois Server: whois.discount-domain.com Referral URL: http://www.onamae.com Name Server: ASIA1.AKAM.NET Name Server: ASIA3.AKAM.NET Name Server: AUS1.AKAM.NET Name Server: EUR3.AKAM.NET Name Server: EUR4.AKAM.NET Name Server: EUR5.AKAM.NET Name Server: NS1-180.AKAM.NET Name Server: NS1-93.AKAM.NET Name Server: USE4.AKAM.NET Status: clientTransferProhibited Updated Date: 12-nov-2014 Creation Date: 26-nov-2002 Expiration Date: 26-nov-2015
お名前ドットコムで取得されたみたいね。
IP情報
| IPアドレス | 216.127.176.225 |
|---|---|
| ホスト名 |
225-79-44-72-dedicated.multacom.com |
NetRange: 216.127.160.0 - 216.127.191.255 CIDR: 216.127.160.0/19 NetName: MULTA-NET6 NetHandle: NET-216-127-160-0-1 Parent: NET216 (NET-216-0-0-0-0) NetType: Direct Allocation OriginAS: AS35916 Organization: MULTACOM CORPORATION (MULTA) RegDate: 2008-07-07 Updated: 2012-03-02 Ref: http://whois.arin.net/rest/net/NET-216-127-160-0-1 OrgName: MULTACOM CORPORATION OrgId: MULTA Address: 16654 Soledad Canyon Rd #150 City: Canyon Country StateProv: CA PostalCode: 91387 Country: US RegDate: 2005-03-23 Updated: 2009-09-10 Ref: http://whois.arin.net/rest/org/MULTA ReferralServer: rwhois://rwhois.multacom.com:4321/ OrgTechHandle: NOC1793-ARIN OrgTechName: Network Operations Center OrgTechPhone:+1-661-977-9436 OrgTechEmail: noc@multacom.com OrgTechRef: http://whois.arin.net/rest/poc/NOC1793-ARIN OrgAbuseHandle: ABUSE898-ARIN OrgAbuseName: Abuse Department OrgAbusePhone:
結論として
このドメイン情報を調べる上で、スクェアが持っている物が判別がつかない物の
ネットワーク情報で偽装された会社名でIPを取得する事なんて
あまり考えにくいということで、DOSを狙った攻撃なのかな?と結論づけました。
今書かれて居るドメインへのアクセスは、サーバが応答を返さないので
これ以上調査はできません。もちろん直接アクセスなんてしていません。
こういうメールが来たら、クリックなんてしちゃ駄目ですよ。
ろくなことにならないので注意をしてくださいね。
