『こんにちは! 残念ながら凶報がございます。』と脅迫メールが来た。でもよく読むと内容がおかしい。また、『恥ずかしい動画をばらまかれたくなかったらBitCoinで支払え』とあるが誰も支払っていなかったw。で、送信者を調べてみる。
■目次
■脅迫メールが来た『こんにちは! 残念ながら凶報がございます。』
題名『アカウントからのお支払い。未払いがあります』
スパムメールはよく来るのですが、まああまり気にしません。
今回、たまたま開いたスパムメールが強烈で面白かったのでブログに貼り付けておきます。題名はありきたりの題名ですが、本文の書き出しが強烈で
『こんにちは! 残念ながら凶報がございます。』
と始まります。この一文でも突っ込みどころはたくさんあるのですが、あまり聞かない言い回しなのでやっぱりドキッとします。
悪いことを伝えるのに『こんにちは!』って感嘆符付きでメールをおくるのはちょっと笑えます。お前は友達か!と。が、次に『残念ながら凶報がございます』凶報って普通日本人は使わない。凶って漢字は正月のおみくじで見るぐらいだし、そもそも正月のおみくじで凶はあまり入っていないしw。あとは、鬼滅の刃で見るぐらい。
同じ意図なら、せいぜい書いても『悪いお知らせがあります。』ぐらいだし、そもそもそれも書きません。
次に、『…デバイスのオペレーティングシステム全てにトロイの木馬ウイルスをインストールしました。』
あの。。。デバイスに侵入できたのにトロイの木馬ウイルスをインストールっておかしいよね。『トロイの木馬』って例えばQRコードリーダーアプリに見せかけて、インストールさせてパスワードを盗むみたいなものでしょ。普通侵入できたら、バックドアやルートキットといったハッキングツールをインストールします。それに、侵入できたならメールで通知しないで、画面に直接表示すればいいのに。たとえば、起動したら全画面に『このデバイスはハッキングされました(ハートマーク)』みたいに表示すれば信じるんだけどね。
以下そのメール本文。
こんにちは! 残念ながら凶報がございます。 数ヶ月前、あなたがインターネット閲覧に利用しているデバイスへのアクセス権を取得しました。 さらに、あなたのインターネット活動の追跡も行いました。 下記は、それまでに至る経緯です。
以前、ハッカーから複数のメールアドレスへのアクセス権を購入しました(最近では、オンライン上で簡単に購入することが可能です)。 よって苦労することなく、あなたのメールアカウント(********@****.****.jp)にログインしています。 あなたのデバイスにアクセスしてから1週間以内に、メールに利用されているデバイスのオペレーティングシステム全てにトロイの木馬ウイルスをインストールしました。 実際、この操作はかなり単純です(なぜなら、あなたが受信メールをクリックしたからです)。 スマートな物事は何でもかなり単純なのでしょう。( ´ ▽ ` ) 私のソフトウェアで、あなたのデバイス全てのコントローラーにアクセスすることができ、それはビデオカメラ、マイク、キーボードを含みます。 あなたの個人情報全てをダウンロードし、あなたのWeb閲覧履歴や写真も私のサーバーに保存してあります。あなたのメッセージ類全てだけでなく、Eメール、SNS、連絡先、チャットの履歴さえも私はアクセスできます。 私のウイルスは(ドライバーベースで)絶えずシグネチャを更新するため、ウイルス対策ソフトでは検知できません。 今まであなたが私の存在に気がつかなかった理由はご理解いただけたかと思います・・・
あなたの情報を収集している間に、あなたはアダルトサイトの大ファンだということが判明しました。 ポルノサイトを閲覧して、エッチなお楽しみをしながら卑猥な動画を見るのが本当にお好きなのですね。 実はあなたのエッチな様子を録画してモンタージュビデオを作成しました。熱心に自慰行為をして絶頂に達する様子が収められています。 私の言っていることが信じられないようであれば、マウスを数回クリックするだけでそのビデオをあなたの友人、親戚や同僚の方々と共有することもできます。 別にこのビデオが公になっても私は構いません。 ただ、そんなことをあなたは望んでいないだろうし、あなたが視聴していた動画が特殊なものであることを考慮しても(特殊なことはご存知のはずです)、何がどう転んでもあなたには大災難をもたらすでしょう。
この件は下記のように解決させましょう。 あなたがすべきことは、ただ ¥200000 を私のアカウントに送金するだけです(送金時の為替レートに基づくビットコイン相当)。送金が完了すると、私はすぐに卑猥なもの全てを削除します。 その後は何もなかったかのように過ごしましょう。また、あなたのデバイスから悪意のあるソフトウェア全てを削除することも約束します。私は約束をもちろん守りますよ。 これはかなり低価格な取引です。私はあなたのプロフィールやトラフィックを追跡するのにかなりの労力と時間を費やしていることもお忘れなく。 ビットコインの購入や送金方法をご存知ないのであれば、オンライン上で関連情報が全て簡単に手に入ります。 下記が私のビットコインウォレットです: 1LstHgW8JEkJ8yuv69k51qNgSd2YJk9rJS このメールを開封してから48時間以内(2日以内)に入金を行なってください。 下記は、あなたが起こすべきではない行動です。
* 私のメールに返事しないでください(受信トレイのメールは、返信先アドレスと一緒に私が作成したものです)。 * 警察や警護サービスを呼ばないでください。また、友人にこの件について相談しようとしないでください。一度でも私が感づくと、ビデオをすぐにでも公開します。(私はあなたのシステムの全ての完全コントロールを握っています)。 * 私を探さないでください。これは完全に無意味です。全ての仮想通貨取引は常に匿名で行われます。 * OSをインストールし直したりして、私を追い出そうとしないでください。あなたのビデオはリモートサーバーで既に保存されているので、これも無意味です。 以下は、あなたが心配する必要のないことです。 * 送金したお金を私が受け取れないかもしれないこと。 - 取引が無事成功した時点からお金の追跡を行うので、心配は無用です。今も尚あなたの行動を監視しています(Team Viwerのように私のトロイの木馬はリモートコントロールのオプションを含みます)。 * 送金が完了しても私は動画を公開してしまうかもしれないこと。 - あなたの人生をややこしくし続けるつもりはありません。もしそれが目的なら、もっと大分前から行っていたはずです! 全ては公正さを基本に行いましょう! 忘れる前に一言・・・このような状況にはこれ以上巻き込まれないようにしてくださいね! 私からのアドバイスは、アカウントのパスワードを頻繁に変更することです。
読みにくいので一部改行
ネットで検索すると以前のバージョンも有りました。文面はもっとひどいので、今回のは随分改良されて日本語らしくなっています。
■メールアドレスとパスワードが漏れているのは事実
メールアドレスは、売買されています。スパムメールを送る業者やグループはそういった情報を購入しています。今回、この記事を書こうと思ったのは、同じ文面のメールが4件届いていたのですが、そのメールの題名にパスワードを記載しているものがありました。そのパスワード自体は10年以上も前に使っていた古いパスワードで、現在はすべてのサイトのパスワードを変更しているので実害は無いのですが、間違いなく使っていたパスワードでした。
もし、このブログを見ている人がパスワードの使い回しをしているようなら、パスワードの流出からハッキングされることは間違いありません。仮に今実害が無いとしても、いずれどこかのサイトからメールアドレスとパスワードは流出します。あの、老舗OCNでさえハッキングされた過去があるぐらいなので安心はできません。
すべてのサイトでパスワードは違うものを使用してください。クレジットカードなどの重要な情報を入力しているサイトやお金が動くようなところは、必ず二段階認証を設定するようにしましょう。
■ビットコインを支払った人はいなかった
この迷惑メールの中でビットコインのアドレスが記載されています。このアドレス宛に支払ってくれとのことですが、このアドレスを調べるとどれだけ支払われたのかわかります。
ビットコインは公開されたブロックチェインで、どこからどれだけ支払われたか、それがどこに資金が移動されたかわかるようになっています。
blockchain.comで調べる事ができます。
現在の支払い状況はこちら
今の所、誰も支払っていません。よかったよかった。
ビットコインは犯罪に使用されたりマネーロンダリングの温床になったり、資産隠しに利用されていますし。何よりも取引をするのに膨大な電力とマシンパワーと大量のシリコンウエアーを使用するので非常に効率の悪いものになっています。
そのため、将来的には順次、取引禁止、使用禁止になりそうなんですがどうなんでしょうね。
■メールの送信者を追ってみる
こちらには同じ文面でメールが4通届いていました。
それぞれのメールアドレスは以下のアドレスになっていました。届いた順で、
①n***shavue8997@mailcatch.com
②t***gi@p-craft.co.jp
③e***e46c4c5e713b2@kokeshiya.com
④s***o@mtd.co.jp
架空のアドレスか実在するアドレスかは試していないのでわかりませんが、多分被害にあった方、過去に存在していたアドレスと思われます。この方々は犯人ではありません。
さて、それぞれのメールを詳しく見てみます。メールは見えている本文以外にも送信したメールソフトや、メールが送られてきた経路、送信者のIPアドレスといった情報が記録されています。その情報を元に送信者の情報を探ってみようと思います。それらの情報が入っている場所は、メールヘッダーというところです。
MicrosoftのOutlookでその情報を表示するには、
- その当該メールの題名をダブルクリックし、別窓で大きく表示します。
- メニューから[ファイル]-[プロパティー]を選択します。
- [インターネットヘッダー]内に記載されている内容がメールヘッダーです。
n***shavue8997@mailcatch.comからのメールを調べる
メールヘッダーの内容は以下の様になっていました。
Return-Path: <n***shavue8997@mailcatch.com>
Received: from mda04.asahi-net.or.jp (Postfix)
by (atson1mbox) with pddf; Wed, 10 Nov 2021 21:59:39 +0900 (JST)
Received: from mxmilter4.asahi-net.or.jp (mxmilter4 [202.224.39.190])
by mda04.asahi-net.or.jp (Postfix) with ESMTP id 47B2B34004
for <M6668DY956Z@asahi-net.or.jp>; Wed, 10 Nov 2021 21:59:39 +0900 (JST)
Received: from ppscan8s02.v501.atson.jp (ppscan8s02.v501.atson.jp [10.50.1.122])
by mxmilter4.asahi-net.or.jp (Postfix) with ESMTP id 4452E400CE
for <mailaddress@own.com>; Wed, 10 Nov 2021 21:59:39 +0900 (JST)
Received: from antispam.asahi-net.or.jp (mxmilter4.v501.atson.jp [10.50.1.95])
by ppscan8s02.v501.atson.jp (8.16.0.43/8.16.0.43) with ESMTP id 1AACxdhl015372
for <mailaddress@own.com>; Wed, 10 Nov 2021 21:59:39 +0900
Received: from mxrep03.asahi-net.or.jp (mxrep03.asahi-net.or.jp [202.224.39.234])
by mxmilter4.asahi-net.or.jp (Postfix) with ESMTP id EE3C860068
for <mailaddress@own.com>; Wed, 10 Nov 2021 21:59:38 +0900 (JST)
Received: from data-59-237.cgates.lt (unknown [5.20.59.237])
by mxrep03.asahi-net.or.jp (Postfix) with ESMTP id 29D0A2001B
for <mailaddress@own.com>; Wed, 10 Nov 2021 21:59:35 +0900 (JST)
Message-Id: <ED931AD3F9645A304EC70E24B987ED93@AOHJX3W>
From: <n***shavue8997@mailcatch.com>
To: "own_password" <mailaddress@own.com>
Subject: =?utf-8?B?44Ki44Kr44Km44Oz44OI44GL44KJ44Gu44GK5pSv5omV44GE44CC5pyq5omV44GE44GM44GC44KK44G+?= =?utf-8?B?44GZ?=
Date: 10 Nov 2021 15:47:32 +0100
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_004C_01D7D643.05D59E53"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5931
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5931
X-IP: 5.20.59.237
X-FROM-DOMAIN: mailcatch.com
X-FROM-EMAIL: n***shavue8997@mailcatch.com
X-ASAHI-NET-MyFilter: done
X-Proofpoint-GUID: MCc8PT8cvIQJcKqQCSG5cbTVZ__ar28v
X-Proofpoint-ORIG-GUID: MCc8PT8cvIQJcKqQCSG5cbTVZ__ar28v
X-Spam-Details: rule=quarantine_notspam policy=quarantine score=0 mlxscore=0 phishscore=0
spamscore=0 mlxlogscore=534 adultscore=0 bulkscore=100 suspectscore=0
malwarescore=0 classifier=spam adjust=0 reason=mlx scancount=1
engine=8.12.0-2110150000 definitions=main-2111100068
Delivery-Agent: postfix/virtual 2.1.3+atson1mbox(RELEASE_2006041401) on mda04
ここで注目するのは青字の項目です。
X-Mailer: Microsoft Outlook Express 6.00.2900.5931
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5931
とあります。送信したメールソフトはMicrosoft Outlook Express 6.00.2900.5931。これも偽装されているかもしれません。
さらに、送信者のIPアドレスが記録されています。
X-IP: 5.20.59.237
メールの文面からして、メールに記録されたIPアドレスはそのまま送信者のIPアドレスかもしれませんね。
IPアドレスの所在を調べます。IPアドレスはすべて管理されています。そのIPアドレスを管理しているところに問い合わせるとそのIPアドレスの利用者まで特定できます。
whois ipv4 でGoogle検索したサイトで調査します。
今回はこちらで調査しました。
ドメイン/IPアドレス サーチ 【whois情報検索】
IPアドレスを入力して[管理情報紹介実行]を押します。
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '5.20.32.0 - 5.20.117.255'
% Abuse contact for '5.20.32.0 - 5.20.117.255' is 'abuse@cgates.lt'
inetnum: 5.20.32.0 - 5.20.117.255
netname: LT-CGATES
descr: Cgates, UAB
descr: Internet services
country: LT → (リトアニア)
admin-c: CG6399-RIPE
tech-c: CG6399-RIPE
status: ASSIGNED PA
mnt-by: CGATES-LT
mnt-lower: CGATES-LT
mnt-routes: CGATES-LT
org: ORG-UKRT1-RIPE
created: 2012-05-04T17:17:15Z
last-modified: 2012-05-04T17:17:15Z
source: RIPE
organisation: ORG-UKRT1-RIPE
org-name: UAB "Cgates"
country: LT → (リトアニア)
org-type: LIR
address: Ukmerges st. 120
address: LT-08105
address: Vilnius
address: LITHUANIA
phone: +37052150000
fax-no: +37052137799
admin-c: MS41406-RIPE
tech-c: CG6399-RIPE
abuse-c: CNA24-RIPE
mnt-ref: RIPE-NCC-HM-MNT
mnt-ref: CGATES-LT
mnt-by: RIPE-NCC-HM-MNT
mnt-by: CGATES-LT
created: 2004-04-17T11:37:12Z
last-modified: 2020-12-16T12:24:41Z
source: RIPE # Filtered
person: Cgates NOC
address: Cgates UAB
address: Ukmerges g. 120
address: LT-08105 Vilnius, Lithuania
phone: +370 5 215 0000
nic-hdl: CG6399-RIPE
mnt-by: CGATES-LT
created: 2012-05-03T07:42:59Z
last-modified: 2018-10-31T11:34:42Z
source: RIPE # Filtered
% Information related to '5.20.32.0/19 (マスク範囲)AS21412'
route: 5.20.32.0/19 (マスク範囲)
descr: CGATES-LT
origin: AS21412
mnt-by: CGATES-LT
created: 2012-05-04T17:32:04Z
last-modified: 2012-05-04T17:32:04Z
source: RIPE
% This query was served by the RIPE Database Query Service version 1.101 (BLAARKOP)Received: from
Abuse contact for '5.20.32.0 - 5.20.117.255' is 'abuse@cgates.lt'
とあるので、cgates.lt の管理下にあります。
country: LT → (リトアニア)
"lt" はリトアニア。
www.cgates.lt を検索すると、CATVの会社のようです。
IPアドレスから推定される場所を表示してみましょう。
My IP Address Lookup and IP Address Locator
ここの辺りからメールが来ているらしいです。
いろんなサービスがありますね。
リトアニアのアリートゥス市から発送されていました。
もっとも、GoogleならIPアドレスからもっと正確な場所が特定できるんでしょうけど。
さて、このIPアドレスについてもちょっと調べてみます。
スパムメールを送るIPアドレスは、ブラックリストに掲載され、以後メールを送信できなくなります。ブラックリストに掲載されているかもチェックしてみましょう。
面白いのはこちら
すでにアチラコチラのブラックリストに掲載されてしまっているようです。
②t***gi@p-craft.co.jpからのメールを調べる
メールヘッダーの内容は以下の様になっていました。
Return-Path: <t***gi@p-craft.co.jp>
Received: from mda05.asahi-net.or.jp (Postfix)
by (atson1mbox) with pddf; Wed, 10 Nov 2021 22:17:48 +0900 (JST)
Received: from mxmilter2.asahi-net.or.jp (mxmilter2 [202.224.39.167])
by mda05.asahi-net.or.jp (Postfix) with ESMTP id 0CAF611C055
for <M6668DY956Z@asahi-net.or.jp>; Wed, 10 Nov 2021 22:17:48 +0900 (JST)
Received: from ppscan8s02.v501.atson.jp (ppscan8s02.v501.atson.jp [10.50.1.122])
by mxmilter2.asahi-net.or.jp (Postfix) with ESMTP id 09A84600CB
for <mailaddress@own.com>; Wed, 10 Nov 2021 22:17:48 +0900 (JST)
Received: from antispam.asahi-net.or.jp (mxmilter3.v501.atson.jp [10.50.1.94])
by ppscan8s02.v501.atson.jp (8.16.0.43/8.16.0.43) with ESMTP id 1AADHjTZ007680
for <mailaddress@own.com>; Wed, 10 Nov 2021 22:17:47 +0900
Received: from mxrep02.asahi-net.or.jp (mxrep02.asahi-net.or.jp [202.224.39.233])
by mxmilter3.asahi-net.or.jp (Postfix) with ESMTP id A958120058
for <mailaddress@own.com>; Wed, 10 Nov 2021 22:17:47 +0900 (JST)
Received: from [103.104.92.116] (unknown [103.104.92.116])
by mxrep02.asahi-net.or.jp (Postfix) with ESMTP id 761068003C
for <mailaddress@own.com>; Wed, 10 Nov 2021 22:17:40 +0900 (JST)
Message-Id: <54BA3A4DEFD4CD9876F68123180154BA@5MX38LB15V5>
From: <t***gi@p-craft.co.jp>
To: <mailaddress@own.com>
Subject: =?utf-8?B?44Ki44Kr44Km44Oz44OI44GL44KJ44Gu44GK5pSv5omV44GE44CC5pyq5omV44GE44GM44GC44KK44G+?= =?utf-8?B?44GZ?=
Date: 10 Nov 2021 18:32:05 +0000
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_001F_01D7D663.0752FC14"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5931
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5931
X-IP: 103.104.92.116
X-FROM-DOMAIN: p-craft.co.jp
X-FROM-EMAIL: t***gi@p-craft.co.jp
X-ASAHI-NET-MyFilter: done
X-Proofpoint-GUID: OW80r3KICwsG7wk03d6WH_SzSkMwDIaw
X-Proofpoint-ORIG-GUID: OW80r3KICwsG7wk03d6WH_SzSkMwDIaw
X-Spam-Details: rule=quarantine_notspam policy=quarantine score=0 mlxscore=0 phishscore=0
spamscore=0 mlxlogscore=501 adultscore=0 bulkscore=100 suspectscore=0
malwarescore=0 classifier=spam adjust=0 reason=mlx scancount=1
engine=8.12.0-2110150000 definitions=main-2111100070
Delivery-Agent: postfix/virtual 2.1.3+atson1mbox(RELEASE_2006041401) on mda05
X-Mailer: Microsoft Outlook Express 6.00.2900.5931
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5931
X-IP: 103.104.92.116
メーラーは同じMicrosoft Outlook Express 6.00.2900.5931
IPアドレスは 103.104.92.116
% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
% Information related to '103.104.92.0 - 103.104.95.255'
% Abuse contact for '103.104.92.0 - 103.104.95.255' is 'nazim@mnkinfoway.com'
inetnum: 103.104.92.0 - 103.104.95.255
netname: SKYBROADBAND-IN
descr: SKY BROADBAND
country: IN → (インド)
org: ORG-SB3-AP
admin-c: SBA3-AP
tech-c: SBA3-AP
abuse-c: AS2688-AP
status: ALLOCATED PORTABLE
remarks: --------------------------------------------------------
remarks: To report network abuse, please contact mnt-irt
remarks: For troubleshooting, please contact tech-c and admin-c
remarks: Report invalid contact via www.apnic.net/invalidcontact
remarks: --------------------------------------------------------
mnt-by: APNIC-HM
mnt-lower: MAINT-SKYBROADBAND-IN
mnt-routes: MAINT-SKYBROADBAND-IN
mnt-irt: IRT-SKYBROADBAND-IN
last-modified: 2020-08-05T05:35:33Z
source: APNIC
irt: IRT-SKYBROADBAND-IN
address: Shop No 4/5, Raman Mama Nagar, Baiganwadi Signal Junction.
address: Baiganwadi. Govandi. Mumbai-400043
e-mail: nazim@mnkinfoway.com
abuse-mailbox: nazim@mnkinfoway.com
admin-c: MIA14-AP
tech-c: MIA14-AP
auth: # Filtered
remarks: nazim@mnkinfoway.com was validated on 2021-08-31
mnt-by: MAINT-AS137083
last-modified: 2021-08-31T13:24:11Z
source: APNIC
organisation: ORG-SB3-AP
org-name: SKY BROADBAND
country: IN → (インド)
address: Shop No 4/5, Raman Mama Nagar, Baiganwadi Signal Junction.
address: Baiganwadi. Govandi. Mumbai-400043
phone: +919320184184
e-mail: nazim@mnkinfoway.com
mnt-ref: APNIC-HM
mnt-by: APNIC-HM
last-modified: 2020-08-08T12:56:25Z
source: APNIC
role: ABUSE SKYBROADBANDIN
address: Shop No 4/5, Raman Mama Nagar, Baiganwadi Signal Junction.
address: Baiganwadi. Govandi. Mumbai-400043
country: ZZ
phone: +000000000
e-mail: nazim@mnkinfoway.com
admin-c: MIA14-AP
tech-c: MIA14-AP
nic-hdl: AS2688-AP
remarks: Generated from irt object IRT-SKYBROADBAND-IN
abuse-mailbox: nazim@mnkinfoway.com
mnt-by: APNIC-ABUSE
last-modified: 2020-08-07T19:24:36Z
source: APNIC
role: SKY BROADBAND administrator
address: Shop No 4/5, Raman Mama Nagar, Baiganwadi Signal Junction.
address: Baiganwadi. Govandi. Mumbai-400043
country: IN → (インド)
phone: +919320184184
e-mail: nazim@mnkinfoway.com
admin-c: MIA14-AP
tech-c: MIA14-AP
nic-hdl: SBA3-AP
mnt-by: MAINT-AS137083
last-modified: 2020-08-07T19:20:29Z
source: APNIC
% Information related to '103.104.92.0/24 (マスク範囲)AS58678'
route: 103.104.92.0/24 (マスク範囲)
origin: AS58678
descr: abuse-mailbox: info@intechonline.net
mnt-by: MAINT-INTECHONLINE
last-modified: 2021-04-17T09:46:37Z
notify: amol@intechonline.net
source: APNIC
% This query was served by the APNIC Whois Service version 1.88.15-SNAPSHOT (WHOIS-JP1)
country: IN → (インド)
org-name: SKY BROADBAND
③e***e46c4c5e713b2@kokeshiya.comからのメールを調べる
メールヘッダーの内容は以下の様になっていました。
Return-Path: <e***e46c4c5e713b2@kokeshiya.com>
Received: from mda01.asahi-net.or.jp (Postfix)
by (atson1mbox) with pddf; Wed, 10 Nov 2021 23:38:36 +0900 (JST)
Received: from mxmilter4.asahi-net.or.jp (mxmilter4 [202.224.39.190])
by mda01.asahi-net.or.jp (Postfix) with ESMTP id D21DD34003
for <M6668DY956Z@asahi-net.or.jp>; Wed, 10 Nov 2021 23:38:36 +0900 (JST)
Received: from ppscan8s07.v501.atson.jp (ppscan8s07.v501.atson.jp [10.50.1.184])
by mxmilter4.asahi-net.or.jp (Postfix) with ESMTP id CF025400CB
for <mailaddress@own.com>; Wed, 10 Nov 2021 23:38:36 +0900 (JST)
Received: from antispam.asahi-net.or.jp (mxmilter1.v501.atson.jp [10.50.1.92])
by ppscan8s07.v501.atson.jp (8.16.0.43/8.16.0.43) with ESMTP id 1AAEcaTe001266
for <mailaddress@own.com>; Wed, 10 Nov 2021 23:38:36 +0900
Received: from mxrep03.asahi-net.or.jp (mxrep03.asahi-net.or.jp [202.224.39.234])
by mxmilter1.asahi-net.or.jp (Postfix) with ESMTP id A25F940070
for <mailaddress@own.com>; Wed, 10 Nov 2021 23:38:36 +0900 (JST)
Received: from [212.237.122.102] (unknown [212.237.122.102])
by mxrep03.asahi-net.or.jp (Postfix) with ESMTP id 643D22002B
for <mailaddress@own.com>; Wed, 10 Nov 2021 23:38:31 +0900 (JST)
Message-Id: <A8BAA38C96B195B9ABB29D87A084A8BA@kokeshiya.com>
From: <e***e46c4c5e713b2@kokeshiya.com>
To: <mailaddress@own.com>
Subject: =?utf-8?B?44Ki44Kr44Km44Oz44OI44GL44KJ44Gu44GK5pSv5omV44GE44CC5pyq5omV44GE44GM44GC44KK44G+?= =?utf-8?B?44GZ?=
Date: 10 Nov 2021 19:23:21 +0200
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="---------5307011501575955"
X-Mailer: Cyusab gthpxm 9.5
X-IP: 212.237.122.102
X-FROM-DOMAIN: kokeshiya.com
X-FROM-EMAIL: e79ae46c4c5e713b2@kokeshiya.com
X-ASAHI-NET-MyFilter: done
X-Proofpoint-GUID: tPyzYvGKCzn8Qhl1LnJlD4GfcOV2CeQK
X-Proofpoint-ORIG-GUID: tPyzYvGKCzn8Qhl1LnJlD4GfcOV2CeQK
X-Spam-Details: rule=quarantine_notspam policy=quarantine score=0 adultscore=0
bulkscore=100 phishscore=0 suspectscore=0 mlxlogscore=498 malwarescore=0
spamscore=0 mlxscore=0 classifier=spam adjust=0 reason=mlx scancount=1
engine=8.12.0-2110150000 definitions=main-2111100076
Delivery-Agent: postfix/virtual 2.1.3+atson1mbox(RELEASE_2006041401) on mda01
これだけX-Mailerが違いますね。
X-Mailer: Cyusab gthpxm 9.5
X-IP: 212.237.122.102
こちらのIPアドレスも調べてみましょう。
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '212.237.120.0 - 212.237.123.255'
% Abuse contact for '212.237.120.0 - 212.237.123.255' is 'admin.ripe@knet-telecom.com'
inetnum: 212.237.120.0 - 212.237.123.255
netname: KurdEstanNetSubnet7
country: IQ → (イラク)
admin-c: AR34922-RIPE
tech-c: AR34922-RIPE
status: ASSIGNED PA
mnt-by: newroztelecom-mnt
mnt-by: K-NET
mnt-by: newroztelecom-routemnt
mnt-by: iq-exabyt-1-mnt
mnt-by: K-Net-Telecom-MNT
created: 2017-11-13T09:04:56Z
last-modified: 2019-10-03T14:58:16Z
source: RIPE
person: Admin RIPE
address: Baharka new road, near to 120M int. , Erbil, KRG, Iraq
phone: +96466186
nic-hdl: AR34922-RIPE
mnt-by: K-Net-Telecom-MNT
created: 2016-01-10T08:57:25Z
last-modified: 2018-06-21T12:23:12Z
source: RIPE
% Information related to '212.237.122.0/24 (マスク範囲)AS206206'
route: 212.237.122.0/24 (マスク範囲)
origin: AS206206
mnt-by: iq-exabyt-1-mnt
mnt-by: K-NET
mnt-by: newroztelecom-routemnt
mnt-by: newroztelecom-mnt
mnt-by: K-Net-Telecom-MNT
created: 2021-03-12T03:29:31Z
last-modified: 2021-03-12T03:29:31Z
source: RIPE
% This query was served by the RIPE Database Query Service version 1.101 (BLAARKOP)
country: IQ → (イラク)
IPアドレスを元に住所を調べたところ
④s***o@mtd.co.jpからのメールを調べる
メールヘッダーの内容は以下の様になっていました。
Return-Path: <s***o@mtd.co.jp>
Received: from mda02.asahi-net.or.jp (Postfix)
by (atson1mbox) with pddf; Wed, 10 Nov 2021 22:51:24 +0900 (JST)
Received: from mxmilter4.asahi-net.or.jp (mxmilter4 [202.224.39.190])
by mda02.asahi-net.or.jp (Postfix) with ESMTP id BA1B834004
for <M6668DY956Z@asahi-net.or.jp>; Wed, 10 Nov 2021 22:51:24 +0900 (JST)
Received: from ppscan8s05.v501.atson.jp (ppscan8s05.v501.atson.jp [10.50.1.125])
by mxmilter4.asahi-net.or.jp (Postfix) with ESMTP id B6492400CB
for <mailaddress@own.com>; Wed, 10 Nov 2021 22:51:24 +0900 (JST)
Received: from antispam.asahi-net.or.jp (mxmilter3.v501.atson.jp [10.50.1.94])
by ppscan8s05.v501.atson.jp (8.16.0.43/8.16.0.43) with ESMTP id 1AADpOnU029816
for <mailaddress@own.com>; Wed, 10 Nov 2021 22:51:24 +0900
Received: from mxrep04.asahi-net.or.jp (mxrep04.asahi-net.or.jp [202.224.39.254])
by mxmilter3.asahi-net.or.jp (Postfix) with ESMTP id 75E382005F
for <mailaddress@own.com>; Wed, 10 Nov 2021 22:51:24 +0900 (JST)
Received: from [132.157.66.186] (unknown [132.157.66.186])
by mxrep04.asahi-net.or.jp (Postfix) with ESMTP id 4FC1C20045
for <mailaddress@own.com>; Wed, 10 Nov 2021 22:51:19 +0900 (JST)
Message-Id: <59E00CF3A6B51F59E00CF3A6B51F59E0@5G32H7H5G>
From: <s***o@mtd.co.jp>
To: "password" <mailaddress@own.com>
Subject: =?utf-8?B?44Ki44Kr44Km44Oz44OI44GL44KJ44Gu44GK5pSv5omV44GE44CC5pyq5omV44GE44GM44GC44KK44G+?= =?utf-8?B?44GZ?=
Date: 10 Nov 2021 02:39:23 -0600
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0036_01D7D610.03894606"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5931
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5994
X-IP: 132.157.66.186
X-FROM-DOMAIN: mtd.co.jp
X-FROM-EMAIL: saito@mtd.co.jp
X-ASAHI-NET-MyFilter: done
X-Proofpoint-GUID: TMiizaSOLkYetZbVR6sN3Un6su3xjvPL
X-Proofpoint-ORIG-GUID: TMiizaSOLkYetZbVR6sN3Un6su3xjvPL
X-Spam-Details: rule=quarantine_notspam policy=quarantine score=0 suspectscore=0
mlxlogscore=559 phishscore=0 bulkscore=100 adultscore=0 mlxscore=0
spamscore=0 malwarescore=0 classifier=spam adjust=0 reason=mlx scancount=1
engine=8.12.0-2110150000 definitions=main-2111100072
Delivery-Agent: postfix/virtual 2.1.3+atson1mbox(RELEASE_2006041401) on mda02
X-Mailer: Microsoft Outlook Express 6.00.2900.5931
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5994
X-IP: 132.157.66.186
このIPアドレス『132.157.66.186』の詳細を調べてみます
% Joint Whois - whois.lacnic.net
% This server accepts single ASN, IPv4 or IPv6 queries
% LACNIC resource: whois.lacnic.net
% Copyright LACNIC lacnic.net
% The data below is provided for information purposes
% and to assist persons in obtaining information about or
% related to AS and IP numbers registrations
% By submitting a whois query, you agree to use this data
% only for lawful purposes.
% 2021-11-14 04:00:08 (-03 -03:00)
inetnum: 132.157.0.0/16 (マスク範囲)
status: allocated
aut-num: AS21575
owner: ENTEL PERU S.A.
ownerid: PE-MPSA3-LACNIC
responsible: Entel Per炭
address: Av Circunvalaci坦n, 2886, San Borja
address: 15021 - Lima -
country: PE → (ペルー)
phone: +51 16111111 [0000]
owner-c: EDS10
tech-c: EDS10
abuse-c: EDS10
inetrev: 132.157.0.0/16 (マスク範囲)
nserver: NS01.ENTEL.NET.PE
nsstat: 20211111 AA
nslastaa: 20211111
nserver: NS02.ENTEL.NET.PE
nsstat: 20211111 AA
nslastaa: 20211111
created: 20140610
changed: 20211023
nic-hdl: EDS10
person: Entel Per炭 Lacnic
e-mail: wilfredo.mixan@entel.pe
address: Av. circunvalaci坦n 2886, San Borja, Lima, 2886, -
address: LIM41 - LIMA - PE
country: PE → (ペルー)
phone: +51 016111111 [0000]
created: 20100222
changed: 20211023
% whois.lacnic.net accepts only direct match queries.
% Types of queries are: POCs, ownerid, CIDR blocks, IP
% and AS numbers.
ペルーですね。
IPアドレスから場所を推定すると、
世界中から迷惑メールが送られてきています。やはり、場所がそれぞれ別々なのでハッキングされたPCやなにかしらのデバイスから送信されたもののようです。これは、いわゆるBotNet(ボットネット)っていうものらしいですね。
自分のパソコンがボットにならないように、変なアプリは入れないようにしましょう。クラックされたソフトも色々仕掛けられていて危ないのでダメですよ。
