メールアドレスの流れ

２００３年２月あたりから届き始めたspamの中で、ムトーからアドレスが流れたと見られるspamがいくつか報告されています。

アドレスリストの流出が確認できたspamは、以下のspamです。他にもあるかも知れませんが、私のところには届いていません。

着弾状況(2003.2～)

1 2 3 4はそれぞれ着弾したアドレスを示します。

里梨香	6/29 ■大泥棒市場→貴金属・PC・デジカメが超超激安■ 2 6/3 ■大泥棒市場→貴金属・PC・デジカメが超超激安■ 1 2 5/29 【激安】ブランド時計・Bag【1/100の特価】 1 2 3 5/27 ★尻有ナンバー集販売★ 1 2 3 5/20 ●架空名義通帳・携帯・身分証 2 3 5/13 ■バッグ泥棒-ブランドBag大放出！■ 1 2 3 5/8 ★★わたし、飛びます！★★ 1 2 3 4/23 【激安】ブランド時計・Bag【1/100の特価】 1 2 3 4/19 【ジュントロ密売】それ逝けアンパンで！ 2 4/19 ■本物そっくり【ブランドBAG】【時計】限定■ 2 4/11 【激安】ブランド時計・Bag【1/100の特価】 1 3 4/1 未承諾広告※■激安調査■ 1 2 3/31 PCソフト激安販売！！！ 1 3 3/25 PCソフト激安販売！！！ 1 3 3/24 PCソフト激安販売！！！ 1 3/20 白い粉のエクスタシー 1 3/20 白い粉のエクスタシー 1 2 3 3/4 里梨香　１４才（中２） 1 2 3 3/3 里梨香　１４才（中２） 1 2/18 ★★わたし、飛びます！★★ 1 2 3
七福	4/5 【七福総合サイト】 2 3/23 【総額２００万円プレゼント！】 1 2 3/3 未承諾広告※ほっとマガジン 1 2
ネットチャンネル	7/7 未承諾広告※夏祭り！！大セール！！必見！！ 1 2 6/27 未承諾広告※快楽への未知の世界に・・・（感動！！ 1 2 4 6/20 未承諾広告※芸能人ハプニング大全集！あのアイドルまでも・・・ 1 2 4 6/13 未承諾広告※快楽への未知の世界に・・・（感動！！ 1 2 6/6 未承諾広告※ＵＧ情報ＣＤ祭り！　数量限定！！ 1 2 5/23 未承諾広告※好評につき！＿幻覚見ちゃう♪＿ 2 5/10 未承諾広告※あなたの知られざる世界・・ 1 2 5/9 未承諾広告※【アダルトグッツ】＿快楽グッズ盛り沢山＿ 2 5/3 未承諾広告※【ドラッグ】＿幻覚みちゃう!?♪＿ 1 2 5/2 未承諾広告※【ドラッグ】＿♪幻覚見ちゃう！？♪＿ 1 2 3 4/27 未承諾広告※＿！！ご連絡！！＿ 1 4/25 未承諾広告※あなただけに教えちゃう限定商品！みんなに内緒♪ 2 4/15 未承諾広告※あなただけに教えちゃう限定商品！みんなに内緒♪ 1 4/13 未承諾広告※激裏特価限定商品！ 1 3/31 未承諾広告※今すぐ現金！！ 2

各spamの概要

2003年2月18日前後、ZERO東京APから「★★わたし、飛びます！★★」という件名のspamが送信されました。内容は麻薬系の販売のようです。

by ******.***.******.org (Postfix)
with SMTP id 9A6E8DB4E for <****@***.******.org>;
Tue, 18 Feb 2003 17:50:47 +0900 (JST)
From: smoke0@seznam.cz <smoke0@seznam.cz>
To: ****@***.******.org
Reply-To: smoke0@seznam.cz
Subject: ★★わたし、飛びます！★★
Date: Tue, 18 Feb 2003 17:50:48 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="96788a2e-6191-41e1-8891-9cca8a828560"
Message-Id: <20030218085047.9A6E8DB4E@******.***.******.org>
X-UIDL: iH8!!]4="!+H#"!?%X"!

　　　　★暖かくなる葉っぱあります★
ガンジャ、チョコ、樹脂、スモーク、seeds
日本初入荷、アヘン様ハワイ産ハーバルスモーク
サイトが消されたら終了です。
精神安定剤代わりにどうぞ！
↓　↓　↓　↓　↓　↓　↓　↓　↓　↓
http://tobutobu.host.sk/
http://www.fifth-hosts.com/users/ganja/
http://fusioncities.com/ganja/
http://www.psend.com/users/ganja/
http://ganja00.fbody.com/
http://ganja.9p.org.uk/

このspamは、他のメールと異なる以下の特徴があります。

ヘッダのReceivedフィールドに、「61.50.46.18」のような、一見IPアドレスに見える数字の羅列が含まれる（上記メールヘッダの太字部分・注）
本文やヘッダの、日本語が含まれる箇所のエンコーディングに、あまり使われないQuoted-Printableと言う方式を使用している（通常はBase64を使用します）
本文が、multipart/mixedつまり添付ファイル形式になっている
送信時Message-IDが付加されていないため、受信したSMTPサーバで付加されている

注：本当のアクセス元IPアドレスは、f-tokyo-132250.zero.ad.jp [211.130.132.250]の方です。

私はこのspamを３つのメールアドレスで受信しましたが、いずれもムトーspamが届いているアドレスです。また、そのうちの１つのアドレスは、Webサイト内に設置した、spam観測用のアドレスで、ムトー以外は知り得ないアドレスでした。

その後、同じアドレスに「里梨香　１４才（中２）」という件名の、児童ポルノビデオ販売と見られる内容のspamが届きました。

Return-Path: <ririka@email.it>
Delivered-To: ****@***.******.org
Received: from 16.06.22.04 (f-tokyo-132024.zero.ad.jp [211.130.132.24])
by ******.***.******.org (Postfix)
with SMTP id 564C6DB4E for <****@***.******.org>;
Tue, 4 Mar 2003 02:07:51 +0900 (JST)
From: ririka@email.it <ririka@email.it>
To: ****@***.******.org
Reply-To: ririka@email.it
Subject: 里梨香　１４才（中２）
Date: Tue, 04 Mar 2003 02:06:25 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="9a035ad9-72b1-48f1-8aee-cf5f134d09dc"
Message-Id: <20030303170752.564C6DB4E@******.***.******.org>
X-UIDL: ZN>!!pNC!!4\*"!K4M!!

写真がいっぱいあるよ
消される前に早く見て！

http://ririka80.muvc.net/
http://ririka.6server.com/
http://www.sultryserver.com/teen/ririka/
http://www.royalfreehost.com/teen/ririka/
http://www.pornhostz.com/users/ririka/

名古屋団地とか少女の道草とか知ってる？

http://book-i.net/ririka80/
http://host.deluxnetwork.com/~ririka/
http://www.free-xxx-server.com/sites/asians/ririka/

メールの形式が、最初に受信した「飛びます！」spamと共通であることから、同一の送信者であると推測できます。そこで、このタイプのspamを、「里梨香系spam」と呼ぶこととします。

そう言えば、「名古屋団地とか少女の道草」って、初期のムトーspamでも宣伝してましたね。

その後しばらくして、「【総額２００万円プレゼント！】」という件名のspamが届きました。

Return-Path: <ugmail@emailacc.com>
Delivered-To: ***@*****.********.ne.jp
Received: (qmail 13878 invoked from network);
23 Mar 2003 01:11:05 +0900
Received: from unknown (HELO 13.11.09.23) (210.165.115.202)
by *****.********.ne.jp
with SMTP;
23 Mar 2003 01:11:05 +0900
From: 七福ネット <ugmail@emailacc.com>
To: ***@*****.********.ne.jp
Reply-To: ugmail@emailacc.com
Subject: 【総額２００万円プレゼント！】
Date: Sun, 23 Mar 2003 01:11:29 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="ccad7aae-e2e6-432c-801b-f9303e8b80ad"

━ 七福ネットマガ ━━━━━━━━━━━━━
　
　　七福マガジン[懸賞版]　

━━━━━━━━━━━━━━━━━━━━━━
　太っ腹！【現金総額２００万円】プレゼント！

不景気の今は、現金が一番！高確率で当選間違いなし！

さらに、あなたの興味のある情報・欲しい情報が満載の
七福マガジンが週に一度送られてくる！もう、ネットサ
ーフィンをして欲しい物を検索する必要なし！

応募も簡単！e-mailアドレスを登録するだけ(＾o＾)
さぁ今すぐ→ http://www.sichifuku.net/
━━━━━━━━━━━━━━━━━━━━━━
七福ネット

メールの形式は里梨香系spamと共通なのですが、送信箇所が埼玉県内であるため、里梨香系と同一spammerであると断言できないspamです。

このspamは、ムトーspamが届いている4アドレス中2アドレスに届いています。したがって、送信に使用したメールアドレスのリストは里梨香系spamが用いているリストより、若干古いものを使用していると推測されます。

そして、その後届いたのが「未承諾広告※激裏特価限定商品！」という件名のspamです。

Return-Path: <thc100jp@yahoo.co.jp>
Delivered-To: ***@*****.********.ne.jp
Received: (qmail 19982 invoked from network);
13 Apr 2003 07:44:21 +0900
Received: from unknown (HELO yahoo806.com) (219.107.225.221)
by *****.********.ne.jp
with SMTP;
13 Apr 2003 07:44:21 +0900
From: net0412 <thc100jp@yahoo.co.jp>
To: ***@*****.********.ne.jp
Reply-To: thc100jp@yahoo.co.jp
Subject: 未承諾広告※激裏特価限定商品！
Date: Sun, 13 Apr 2003 07:45:31 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="9678ad58-8ada-4b97-a5e1-79fec93cba40"

こちらから一方的に送りつけて不愉快になられた方、誠に申し訳ありません..
今後一切の送信を拒否される方はお手数ですが下記のアドレスに返信してください。
配信停止専用アドレス　net-modori@24i.net
当配信は送信に関する特定商表示義務法律に則り送信しています。
<送信者>
net-DMサービス　http://www.net-dm.com/
<事業者>
ネットチャンネル総合企画社　http://210.136.155.95/
ﾟ･*:.｡. .｡.:*･゜ﾟ･*:.｡. .｡.:*･゜ﾟ･*:.｡. .｡:*･゜ﾟ･*:.｡. .｡.:*･゜ﾟ･*:.｡. .｡.:*･゜
『広告』　
特別情報！！必見！！
限定希少価値商品がこの価格で♪
まずはHPを見てください☆
※下記のどのアドレスからでもご覧になれます
http://210.136.155.95/
http://sv39.bestsystems.net/~dazax000/
http://netchannel.sub.jp/
ﾟ･*:.｡. .｡.:*･゜ﾟ･*:.｡. .｡.:*･゜ﾟ･*:.｡. .｡:*･゜ﾟ･*:.｡. .｡.:*･゜ﾟ･*:.｡. .｡.:*･゜
※今後このメールを受信拒否なされる場合停止専用アドレスに返信してください。
以後一切の配信を致しません！

このspam、よく見ると電子メールでは禁じられている、半角カナを使用しています(--;

このspamは、

本文・ヘッダがQuoted-Printableでエンコードされている
本文はmultipart/mixed、すなわち添付ファイル形式
送信時にMessage-IDを付加していない
ヘッダのReceivedフィールドに、Yahoo???.com（???はランダムな数字３桁）が含まれる

という特徴があります。Receivedフィールドの違いを除けば、里梨香系spamとよく似た特徴であることが分かります。

本文中に出てくる、「ネットチャンネル総合企画者」という会社名から、この形式のspamは、「ネットチャンネル系spam」と呼ばれています。

埼玉県発里梨香系spam

内容は里梨香系で、発信元が埼玉県内であるspamが届きました。

Return-Path: <gekiyasu@phreaker.net>
Delivered-To: ***@*****.********.ne.jp
Received: (qmail 9113 invoked from network);
30 May 2003 01:00:43 +0900
Received: from unknown (HELO 13.02.27.30) (210.236.32.180)
by *****.********.ne.jp
with SMTP;
30 May 2003 01:00:43 +0900
From: 激安ブランド <gekiyasu@phreaker.net>
To: ***@*****.********.ne.jp
Reply-To: gekiyasu@phreaker.net
Subject: 【激安】ブランド時計・Bag【1/100の特価】
Date: Fri, 30 May 2003 01:03:00 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="9a070318-4536-402f-8358-97c1b22c33eb"

ブランド品がなんと市価の100分の１から！
定番モノからレアものまで
売り切れ、サイト消滅で即終了
（サイトがすぐ消されます。本日中にお申込みください）

http://book-i.net/gekiyasu/
http://www.psend.com/users/brand00/
http://www.freewebs.com/gekiyasu/

***********************************
ヨットマスター　シルバーが9,000円！
パぺチュアル、エクスプローラーⅡ、GMTマスターⅡ
デイトナ etc・・・
ヴェルニのリードPM赤が7,000円
●モノグラムマルチカラー　ミニスピーディ入荷●
（大人気！残り8個です！)
***********************************
【ブランド携帯ストラッププレゼント】
↑２つ以上お買い上げの方全員↑
http://gekiyasu.linuxeros.org/
http://home.graffiti.net/gekiyasu00/

IPアドレス210.236.32.180は、fsaia180.sdx.ne.jpで、彩ネットの埼玉APであることが分かります。

今まで里梨香系は東京都内から送信されてきました。今回、埼玉県内から送信されたことにより、「七福ネット」系spam（現在は活動休止中）との関連（と言うか同一性）が疑われます。

NTTPC発里梨香系spam

ムトー御用達のNTTPC東京APから里梨香系spamが届きました。

Return-Path: <dorobo@gamebox.net>
Delivered-To: ***@*****.********.ne.jp
Received: (qmail 29348 invoked from network);
3 Jun 2003 22:59:22 +0900
Received: from unknown (HELO 79.01.21.03) (61.197.106.77)
by *****.********.ne.jp
with SMTP;
3 Jun 2003 22:59:22 +0900
From: 大泥棒市場 <dorobo@gamebox.net>
To: ***@*****.********.ne.jp
Reply-To: dorobo@gamebox.net
Subject: ■大泥棒市場→貴金属・PC・デジカメが超超激安■
Date: Tue, 03 Jun 2003 23:01:38 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="7c8687e7-ad00-4bd2-a080-ff764c56761f"

ドロボー市場第2騨！本日限りの開催
闇ルートからの入手品につき信じられない激安
1点もの多し！売切れゴメン。すぐにアクセス！

http://book-i.net/dorobo/
http://66.255.14.39/0001/doro2/
http://galileo.spaceports.com/~dorobo/
http://users.jc-hosting.co.uk/dorobo/
http://dorobo.netfirms.com/

★デジカメ・大人気携帯すべて1万円以下
★貴金属、財布、時計、バッグ　などすべて超激安
★出会い系サイト会員データ・多重債務者リストも超激安
◆激安クラブ会員も大募集◆

さて、ここで出てきた発信元IPアドレス61.197.106.77ですが、２日前に同じIPアドレスからムトーspamが送信されています。

Return-Path: <me464783@members.interq.or.jp>
Delivered-To: ***@*****.********.ne.jp
Received: (qmail 28020 invoked from network);
1 Jun 2003 04:00:27 +0900
Received: from unknown (HELO bka.no) (61.197.106.77)
by *****.********.ne.jp
with SMTP;
1 Jun 2003 04:00:27 +0900
Received: from 5-C ([192.168.0.2])
by bka.no (8.9.3+3.2W/3.7W)
with SMTP id EAA16491;
Sun, 1 Jun 2003 04:04:28 +0900
Message-Id: <200305311904.EAA16491@bka.no>
From: me464783<me464783@members.interq.or.jp>
To: 008802@bka.no
Reply-To: me464783@members.interq.or.jp
Date: Sun, 01 Jun 2003 04:00:11 +0900
Subject: 未承諾広告※大廉売！！
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
MIME-Version: 1.0

また、ここにある情報を見ると、里梨香系spamを送信しているとき、ムトーspamは送信されておらず、里梨香系spamの送信前後で、ムトーspamの送信元IPアドレスが全面的に変わっています。

これをみると、里梨香系spamはムトーspamと同一の場所から送信されたと見るのが妥当といえます。

[PR]衝撃！あなたの本当の裏の顔！:実は貴方はΟΔ県出身？ここで分かる真実