SecurityServer

ooom.asia ドメインからのメールに注意

最近 ooom.asia や micmic.asia からのスパムメールが多いです。
最初は無料で番組を見られる B-CAS カードの売り込みだったが、昨日は「【日本デジタル郵便】特定記録メール便」という物騒な件名で脅迫っぽいメールが届きました。

From: suporrt@xx.ooom.asia
Subject: 【日本デジタル郵便】特定記録メール便

【重要なお知らせ】
「社団法人日本IT調査会 和解業務執行部」様より、下記内容を特定記録メール便にて送信依頼がありましたのでご確認ください。

【日本デジタル郵便】


【送信内容】
弊社は調査業務、情報管理及び和解手続き代行等を主とした調査機関でございます。

本日ご連絡致しましたのは、現在貴方がご契約されている総合コンテンツ提供サービス会社からの再三の通告を放置し、利用料金を長期延滞している事に対して、同社が起訴準備期間に入った事を報告致します。

この通知を最終通告と致しますので、本日、当社営業時間までにご連絡が無い場合、管轄裁判所から裁判日程を決定する呼出状が発行され、記載期日に指定裁判所へ出廷となります。
尚、裁判を欠席されますと、相手方の言い分通りの判決が出され、執行官立ち会いのもと、給料、財産や不動産、有価証券等の差押えを含めた強制執行となりますので、ご注意下さい。

弊社は、今回運営会社様より和解等の最終判断を委託されましたので、双方にとってより良い解決に向かうためのご相談に乗らせて頂きます。本日弊社営業時間までに早急にお電話にてご相談ください。

最近個人情報を悪用する業者の手口も見受けられますので、万が一身に覚えのない場合でも、早急にご連絡ください。

※時間帯によって繋がりにくい場合がございますので、その際は恐れ入りますが、再度お掛け直し頂きますようお願い致します。
尚、メールでの返答には対応しておりません。ご了承下さい。 


〜〜お問い合わせ先〜〜
社団法人日本IT調査会
【担当部署】和解業務執行部
【担当主任】加々美 謙一
【担当補佐】高山 正博
【担当補佐】和田山 孝輔
【電話番号】03-4588-6998
【営業時間】午前10:00〜午後18:30



以上




※本メールは特定記録メール便のサービスとして、メール開封日時の記録及びメール内容の保管を日本デジタル郵便が第三者機関として行っております。
尚、本メールアドレスへの返信をされましても、特定記録メール便送信専用となりますので、当社では確認及び対応することが出来ません。
また、依頼者様へメールが転送されることもありませんので、返信はされませんようお願い申し上げます。
【日本デジタル郵便】

どう考えても詐欺メールなのですが、WHOIS 送信元を特定しみましょう。

[00:20:34] Kokobuta(/Users/kawaih) kawaih$ whois ooom.asia
DotAsia WHOIS LEGAL STATEMENT AND TERMS & CONDITIONS: The WHOIS service offered
  ... 《割愛》 ...

Domain ID:D3215745-ASIA
Domain Name:OOOM.ASIA
Domain Create Date:23-Jun-2014 07:47:58 UTC
Domain Expiration Date:23-Jun-2015 07:47:58 UTC
Domain Last Updated Date:23-Jun-2014 07:53:24 UTC
Last Transferred Date:
Created by:GMO Internet, Inc. d/b/a Discount-Domain.com and Onamae.com R39-ASIA (49)
Last Updated by Registrar:GMO Internet, Inc. d/b/a Discount-Domain.com and Onamae.com R39-ASIA (49)
Sponsoring Registrar:GMO Internet, Inc. d/b/a Discount-Domain.com and Onamae.com R39-ASIA (49)
Domain Status:TRANSFER PROHIBITED
Status:ADDPERIOD
Registrant ID:56D4F221598A54
Registrant Name:seiichi kiyota
Registrant Organization:seiichi kiyota
Registrant Address:Kamiyasumatsu97-5
Registrant Address2:
Registrant Address3:
Registrant City:Tokorozawa-shi
Registrant State/Province:Saitama
Registrant Country/Economy:JP
Registrant Postal Code:359-0025
Registrant Phone:+81.0429946649
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant E-mail:server_z002@yahoo.co.jp
Administrative ID:56D4DA4472B956
Administrative Name:seiichi kiyota
Administrative Organization:seiichi kiyota
Administrative Address:Kamiyasumatsu97-5
Administrative Address2:
Administrative Address3:
Administrative City:Tokorozawa-shi
Administrative State/Province:Saitama
Administrative Country/Economy:JP
Administrative Postal Code:359-0025
Administrative Phone:+81.0429946649
Administrative Phone Ext.:
Administrative FAX:
Administrative FAX Ext.:
Administrative E-mail:server_z002@yahoo.co.jp
Technical ID:56D4DAA4D10DEC
Technical Name:Taro Warita
Technical Organization:GMO Internet Inc.
Technical Address:26-1 Sakuragaoka-cho
Technical Address2:Cerulean Tower 11F
Technical Address3:
Technical City:Shibuya-ku
Technical State/Province:Tokyo
Technical Country/Economy:JP
Technical Postal Code:150-8512
Technical Phone:+81.0354562555
Technical Phone Ext.:
Technical FAX:+81.0354562556
Technical FAX Ext.:
Technical E-mail:admin@onamae.com
Billing ID:56D4F4166261ED
Billing Name:seiichi kiyota
Billing Organization:seiichi kiyota
Billing Address:Kamiyasumatsu97-5
Billing Address2:
Billing Address3:
Billing City:Tokorozawa-shi
Billing State/Province:Saitama
Billing Country/Economy:JP
Billing Postal Code:359-0025
Billing Phone:+81.0429946649
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing E-mail:server_z002@yahoo.co.jp
Nameservers:01.DNSV.JP
Nameservers:02.DNSV.JP
Nameservers:03.DNSV.JP
Nameservers:04.DNSV.JP
Nameservers:
Nameservers:
Nameservers:
Nameservers:
Nameservers:
Nameservers:
Nameservers:
Nameservers:
Nameservers:

ooom.asia は今週の月曜日 6/23 に登録されています。明らかに怪しいです。
技術担当者情報から、ドメインは GMOインターネット株式会社 の「お名前.com」で登録されていることが分かります (「Technical E-mail」が「admin@onamae.com」)。

では、もう一つのドメイン micmic.asia の情報を見てみましょう。

[00:28:46] Kokobuta(/Users/kawaih) kawaih$ whois micmic.asia
DotAsia WHOIS LEGAL STATEMENT AND TERMS & CONDITIONS: The WHOIS service offered
  ... 《割愛》 ...

Domain ID:D3215742-ASIA
Domain Name:MICMIC.ASIA
Domain Create Date:23-Jun-2014 07:47:40 UTC
Domain Expiration Date:23-Jun-2015 07:47:40 UTC
Domain Last Updated Date:23-Jun-2014 07:55:10 UTC
Last Transferred Date:
Created by:GMO Internet, Inc. d/b/a Discount-Domain.com and Onamae.com R39-ASIA (49)
Last Updated by Registrar:GMO Internet, Inc. d/b/a Discount-Domain.com and Onamae.com R39-ASIA (49)
Sponsoring Registrar:GMO Internet, Inc. d/b/a Discount-Domain.com and Onamae.com R39-ASIA (49)
Domain Status:TRANSFER PROHIBITED
Status:ADDPERIOD
Registrant ID:56D4D62A12CA45
Registrant Name:seiichi kiyota
Registrant Organization:seiichi kiyota
Registrant Address:Kamiyasumatsu97-5
Registrant Address2:
Registrant Address3:
Registrant City:Tokorozawa-shi
Registrant State/Province:Saitama
Registrant Country/Economy:JP
Registrant Postal Code:359-0025
Registrant Phone:+81.0429946649
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant E-mail:server_z002@yahoo.co.jp
Administrative ID:56D4EF548387E9
Administrative Name:seiichi kiyota
Administrative Organization:seiichi kiyota
Administrative Address:Kamiyasumatsu97-5
Administrative Address2:
Administrative Address3:
Administrative City:Tokorozawa-shi
Administrative State/Province:Saitama
Administrative Country/Economy:JP
Administrative Postal Code:359-0025
Administrative Phone:+81.0429946649
Administrative Phone Ext.:
Administrative FAX:
Administrative FAX Ext.:
Administrative E-mail:server_z002@yahoo.co.jp
Technical ID:56D4E9E292122E
Technical Name:Taro Warita
Technical Organization:GMO Internet Inc.
Technical Address:26-1 Sakuragaoka-cho
Technical Address2:Cerulean Tower 11F
Technical Address3:
Technical City:Shibuya-ku
Technical State/Province:Tokyo
Technical Country/Economy:JP
Technical Postal Code:150-8512
Technical Phone:+81.0354562555
Technical Phone Ext.:
Technical FAX:+81.0354562556
Technical FAX Ext.:
Technical E-mail:admin@onamae.com
Billing ID:56D4D830B17354
Billing Name:seiichi kiyota
Billing Organization:seiichi kiyota
Billing Address:Kamiyasumatsu97-5
Billing Address2:
Billing Address3:
Billing City:Tokorozawa-shi
Billing State/Province:Saitama
Billing Country/Economy:JP
Billing Postal Code:359-0025
Billing Phone:+81.0429946649
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing E-mail:server_z002@yahoo.co.jp
Nameservers:01.DNSV.JP
Nameservers:02.DNSV.JP
Nameservers:03.DNSV.JP
Nameservers:04.DNSV.JP

同じ「 キヨタ セイイチ」が 6/23 に登録しています。鮮度が良過ぎますね。

また、登録者の住所「〒359-0025 埼玉県所沢市上安松 97」は存在しません。96 と 99 丁目はありますが。

次は送信元の xx.ooom.asia の詳細を調べましょう。

[00:49:02] Kokobuta(/Users/kawaih) kawaih$ dig xx.ooom.asia

; <<>> DiG 9.8.3-P1 <<>> xx.ooom.asia
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52072
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 6

;; QUESTION SECTION:
;xx.ooom.asia.			IN	A

;; ANSWER SECTION:
xx.ooom.asia.		3393	IN	A	192.249.76.187

;; AUTHORITY SECTION:
ooom.asia.		62215	IN	NS	01.dnsv.jp.
ooom.asia.		62215	IN	NS	02.dnsv.jp.
ooom.asia.		62215	IN	NS	04.dnsv.jp.
ooom.asia.		62215	IN	NS	03.dnsv.jp.

;; ADDITIONAL SECTION:
01.dnsv.jp.		56489	IN	A	157.7.32.53
02.dnsv.jp.		68768	IN	A	157.7.33.53
03.dnsv.jp.		62628	IN	A	157.7.32.35
03.dnsv.jp.		31596	IN	AAAA	2400:8500:3000::53
04.dnsv.jp.		59134	IN	A	157.7.33.35
04.dnsv.jp.		25540	IN	AAAA	2400:8500:3fff::53

;; Query time: 33 msec
;; SERVER: 163.139.230.168#53(163.139.230.168)
;; WHEN: Wed Jun 25 00:49:08 2014
;; MSG SIZE  rcvd: 241

[00:49:08] Kokobuta(/Users/kawaih) kawaih$ dig -tMX ooom.asia

; <<>> DiG 9.8.3-P1 <<>> -tMX ooom.asia
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59154
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ooom.asia.			IN	MX

;; AUTHORITY SECTION:
ooom.asia.		300	IN	SOA	01.dnsv.jp. hostmaster.dnsv.jp. 1403509990 3600 900 604800 300

;; Query time: 26 msec
;; SERVER: 163.139.21.197#53(163.139.21.197)
;; WHEN: Wed Jun 25 00:49:13 2014
;; MSG SIZE  rcvd: 84

メールサーバ (MX レコード) は登録されていません。一方的にスパムを送るためのドメインです。

最後に xx.ooom.asia の IP アドレス「192.249.76.187」の管理者を WHOIS で調べます。

[00:51:05] Kokobuta(/Users/kawaih) kawaih$ whois 192.249.76.187
  ... 《割愛》 ...

NetRange:       192.249.64.0 - 192.249.79.255
CIDR:           192.249.64.0/20
OriginAS:       AS54782
NetName:        GMO2-V4
NetHandle:      NET-192-249-64-0-1
Parent:         NET-192-0-0-0-0
NetType:        Direct Allocation
Comment:        http://us.gmocloud.com
RegDate:        2013-07-26
Updated:        2013-07-26
Ref:            http://whois.arin.net/rest/net/NET-192-249-64-0-1

OrgName:        GMO CLOUD AMERICA INC.
OrgId:          GCA-29
Address:        4685 MacArthur Court
Address:        Suite 150
City:           Newport Beach
StateProv:      CA
PostalCode:     92660
Country:        US
RegDate:        2011-06-27
Updated:        2013-08-05
Comment:        GMO Cloud America provides cloud and dedicated servers as well as vps hosting.
Ref:            http://whois.arin.net/rest/org/GCA-29

OrgNOCHandle: PKR35-ARIN
OrgNOCName:   Krensky, Paul
OrgNOCPhone:  +1-650-325-7597
OrgNOCEmail:  paul@nativehosting.com
OrgNOCRef:    http://whois.arin.net/rest/poc/PKR35-ARIN

OrgTechHandle: GCAT-ARIN
OrgTechName:   GMO CLOUD AMERICA Tech
OrgTechPhone:  +1-949-296-6260
OrgTechEmail:  tech@hsinc.com
OrgTechRef:    http://whois.arin.net/rest/poc/GCAT-ARIN

OrgAbuseHandle: GCAA-ARIN
OrgAbuseName:   GMO CLOUD AMERICA ABUSE
OrgAbusePhone:  +1-949-296-6260
OrgAbuseEmail:  abuse@hsinc.com
OrgAbuseRef:    http://whois.arin.net/rest/poc/GCAA-ARIN

問題の IP アドレスは「GMO Cloud America Inc.」の管理下です。ドメイン業者と同じ GMO グループから推測すると、セイイチ君は恐らく「GMO クラウド」を申し込み、お名前.com でスパムを送信するためのドメインを大量に一括登録したのでしょう。

ところで「社団法人日本IT調査会」をウェブで検索すると、「社団法人日本IT調査会へ電話をかけてみた」など色んな方からの詐欺喚起情報がでます。

ここでスパム配信に使われているドメインの廃止を登録業者の お名前.com に依頼しようかと考えましたが、サポートページやこの方の苦労話を見ると積極的に対応してくれなさそうな感じがしたので、メールサーバの postfix で問題のドメインからのメールをブロックする設定をすることにしました。

postfix のホワイトリスト・ブラックリストの設定方法

postfix の設定ファイル main.cf の smtpd_recipient_restrictions に check_sender_address とホワイトリスト・ブラックリストの場所を指定します。

smtpd_client_restrictions = permit_mynetworks permit_sasl_authenticated rsmtpd_pw_server_security_options = cram-md5,login
smtpd_sasl_auth_enable = yes
smtpd_use_pw_server = yes
smtpd_recipient_restrictions = permit_sasl_authenticated permit_mynetworks  reject_unauth_destination check_sender_access hash:/etc/postfix/sender_access check_policy_service unix:private/policy permit

ホワイトリスト・ブラックリスト (/etc/postfix/sender_access) の形式については、postfix の access (5) の man ページを参照していただきたいですが、《ドメイン》とそれに対する《処理》が列挙されているだけです。

apple.com               OK
amazonses.com           OK
jetbrains.com           OK
atlassian.com           OK

ooom.asia               REJECT  Quit spamming me, loser
micmic.asia             REJECT  Quit spamming me, loser

あるドメインからのメールを許可した場合は、ドメイン名 (サブドメインを含めた指定も可能) の後に「OK」と書きます。逆に禁止は「REJECT」とし、554 エラーと併せて返す任意の文字列も指定できます。

sender_access を更新した後は、postmap でファイルを postfix が処理できる形式に変換し、postfix の設定ファイルを再読み込みさせます。

[01:33:37] mail(/etc/postfix) kawai$ sudo postmap ./sender_access
[01:33:37] mail(/etc/postfix) kawai$ sudo postfix reload

さて、仕事に戻りますか…

コメントを残す