SecurityServer

ooom.asia ドメインからのメールに注意

最近 ooom.asia や micmic.asia からのスパムメールが多いです。
最初は無料で番組を見られる B-CAS カードの売り込みだったが、昨日は「【日本デジタル郵便】特定記録メール便」という物騒な件名で脅迫っぽいメールが届きました。

From: suporrt@xx.ooom.asia
Subject: 【日本デジタル郵便】特定記録メール便

【重要なお知らせ】
「社団法人日本IT調査会 和解業務執行部」様より、下記内容を特定記録メール便にて送信依頼がありましたのでご確認ください。

【日本デジタル郵便】


【送信内容】
弊社は調査業務、情報管理及び和解手続き代行等を主とした調査機関でございます。

本日ご連絡致しましたのは、現在貴方がご契約されている総合コンテンツ提供サービス会社からの再三の通告を放置し、利用料金を長期延滞している事に対して、同社が起訴準備期間に入った事を報告致します。

この通知を最終通告と致しますので、本日、当社営業時間までにご連絡が無い場合、管轄裁判所から裁判日程を決定する呼出状が発行され、記載期日に指定裁判所へ出廷となります。
尚、裁判を欠席されますと、相手方の言い分通りの判決が出され、執行官立ち会いのもと、給料、財産や不動産、有価証券等の差押えを含めた強制執行となりますので、ご注意下さい。

弊社は、今回運営会社様より和解等の最終判断を委託されましたので、双方にとってより良い解決に向かうためのご相談に乗らせて頂きます。本日弊社営業時間までに早急にお電話にてご相談ください。

最近個人情報を悪用する業者の手口も見受けられますので、万が一身に覚えのない場合でも、早急にご連絡ください。

※時間帯によって繋がりにくい場合がございますので、その際は恐れ入りますが、再度お掛け直し頂きますようお願い致します。
尚、メールでの返答には対応しておりません。ご了承下さい。 


〜〜お問い合わせ先〜〜
社団法人日本IT調査会
【担当部署】和解業務執行部
【担当主任】加々美 謙一
【担当補佐】高山 正博
【担当補佐】和田山 孝輔
【電話番号】03-4588-6998
【営業時間】午前10:00〜午後18:30



以上




※本メールは特定記録メール便のサービスとして、メール開封日時の記録及びメール内容の保管を日本デジタル郵便が第三者機関として行っております。
尚、本メールアドレスへの返信をされましても、特定記録メール便送信専用となりますので、当社では確認及び対応することが出来ません。
また、依頼者様へメールが転送されることもありませんので、返信はされませんようお願い申し上げます。
【日本デジタル郵便】

どう考えても詐欺メールなのですが、WHOIS 送信元を特定しみましょう。

ooom.asia は今週の月曜日 6/23 に登録されています。明らかに怪しいです。
技術担当者情報から、ドメインは GMOインターネット株式会社 の「お名前.com」で登録されていることが分かります (「Technical E-mail」が「admin@onamae.com」)。

では、もう一つのドメイン micmic.asia の情報を見てみましょう。

同じ「 キヨタ セイイチ」が 6/23 に登録しています。鮮度が良過ぎますね。

また、登録者の住所「〒359-0025 埼玉県所沢市上安松 97」は存在しません。96 と 99 丁目はありますが。

次は送信元の xx.ooom.asia の詳細を調べましょう。

メールサーバ (MX レコード) は登録されていません。一方的にスパムを送るためのドメインです。

最後に xx.ooom.asia の IP アドレス「192.249.76.187」の管理者を WHOIS で調べます。

問題の IP アドレスは「GMO Cloud America Inc.」の管理下です。ドメイン業者と同じ GMO グループから推測すると、セイイチ君は恐らく「GMO クラウド」を申し込み、お名前.com でスパムを送信するためのドメインを大量に一括登録したのでしょう。

ところで「社団法人日本IT調査会」をウェブで検索すると、「社団法人日本IT調査会へ電話をかけてみた」など色んな方からの詐欺喚起情報がでます。

ここでスパム配信に使われているドメインの廃止を登録業者の お名前.com に依頼しようかと考えましたが、サポートページやこの方の苦労話を見ると積極的に対応してくれなさそうな感じがしたので、メールサーバの postfix で問題のドメインからのメールをブロックする設定をすることにしました。

postfix のホワイトリスト・ブラックリストの設定方法

postfix の設定ファイル main.cf の smtpd_recipient_restrictions に check_sender_address とホワイトリスト・ブラックリストの場所を指定します。

ホワイトリスト・ブラックリスト (/etc/postfix/sender_access) の形式については、postfix の access (5) の man ページを参照していただきたいですが、《ドメイン》とそれに対する《処理》が列挙されているだけです。

あるドメインからのメールを許可した場合は、ドメイン名 (サブドメインを含めた指定も可能) の後に「OK」と書きます。逆に禁止は「REJECT」とし、554 エラーと併せて返す任意の文字列も指定できます。

sender_access を更新した後は、postmap でファイルを postfix が処理できる形式に変換し、postfix の設定ファイルを再読み込みさせます。

さて、仕事に戻りますか…