「ロリムトー」ｓｐａｍ送信の動き

動向を考える

参考：接続AP別spam送信状況（表２）

• 多数のPC（ホスト）から送信しているようだが、 実際には、数台による送信に留まっている（その他にアドレス収集用PCが存在）。
• ほとんどすべてが、東京からの送信、フレッツADSLを利用。
• 初期（2002年9月以前）は、接続にOCNを多用し、 SMTPサーヴァの利用は他ISPのものを使用する手口で、 spam送信を行なっていたが、途中からは、SMTPサーヴァと同じISPの接続に変更。 その後2002年10月9日頃からは、自サーヴァをたてての送信に切り換えた模様。
• 「しじみともものコラボレーション」を送り始めてからしばらくは、このspam一本だったが、途中から他サイトの宣伝も送るようになった。 そしてそれらをまとめた「たまげたニュース」・「電子メール広告」・「必見！裏情報！」などに至る。
• ISPの警告は無視して、spamを送信し続けている。
• 強制切断されても、同じISPで、別のアカウントを取得してspam送信を行なう。
• "未承諾広告※"による自動フィルタリングを極端に嫌っていたが、2002年10月初旬頃から、"未承諾広告※"をつけるようになった。 しかし、時々それを故意に破り、違法件名で送信を行なうこともある。
  そもそも、法令の「表示義務」を満たしたものは今まで１通たりとも報告にあがってきていません。
  
• 件名を微妙に変え（例えば「ＤＶＤ」の全角と半角や、「クラブ」のひらがなとカタカナを使い分ける）、件名フィルタリングをすり抜けようとしている。 最近の例では「未承諾広告※プロジェクト1」と「未承諾広告※プロジェクト１」など。
  参考→『件名一覧』
  
• 2002年10月中旬から2003年1月上旬にかけて、Yahoo!JAPANのアドレスを捨てアドレスとして利用してきたが、問題が大きくなってきたのに呼応して、別のアドレスへ切り替えるようになった。

「ロリムトー」系spam判別のポイント

「ロリムトー」系spamは、そのヘッダに特徴があり、同一spammerかどうかの判断が可能です。
2003年11月28日以降は、同系列と見られている「里梨香spam」と同一のヘッダとなりました。
現時点での判別ポイントを挙げ連ねておきます。　私の受信したもののヘッダとでも照らし合わせて、確認してください。

1. X-Mailer: 欄がない …… X-Mailer: 欄は、使用MUA（メーラ）を表わすのですが、「ロリムトー」系spamには、この項目がありません。 （現在ほとんどのメイルにこの X-Mailer: がついていますが、実は必須の項目ではないので、ついていないこと自体は不正ではありません）
2. Content-Transfer-Encoding: quoted-printableとなっている …… 日本語（コード）を扱う普通のMUA（メーラ）の場合、 ここがquoted-printableになっていることはなく、結果、多くの受信者側のMUA（メーラ）で文字化けを発生させています。
   （宣伝のためのspam送信なのに矛盾しているが、送信側の技術不足なのでしょう）
   
3. Received: 欄にて、ホスト偽装を行なっている …… 偽装といっても、きわめて稚拙なものです。　例えば、
   Received: from 40.48.35.29 (187.87.215.220.ap.yournet.ne.jp [220.215.87.187]) by 以下略
   上記の下線部が偽装IPアドレスです。
   この数字はすでに「里梨香spam」時代に、ほぼ解明されており、 この度の「ロリムトーspam」においても、その規則は変わっていません。
   （ネットチャンネル(DMmaster)も似たようなものですが、規則は違っている）
   
4. 宣伝サイトのアドレスが一緒 …… 2003年10月9日以降は、自称の送信者名を偽装するようになりましたが、宣伝サイトはいつも一緒です。 → http://220.106.*.**/xxx/（*は伏字、xはいろいろ）
   これはOCNの管理下なのですが、もう長い期間（半年以上）に亘って、このアドレスが記載され続けています。
   実は、OCNはspam送信については対処するが、サイト開設については犯罪に関わらない限り動かないことを表明しています。
   OCNの判断としては、「ロリムトー」のサイト群は、犯罪性がない（少なくともクロではない）ということのようです。
   

「wing」に隠されたものは？

ホスト名に現われていた"wing"というのは象徴的です。
（wing-2f8mswpeuw, wing-cilnjn2j6v, wing-jf21jh4t8o, wing-q79g21omjt, wing-z5sgni0se5）
2002年夏に、携帯電話spamにおいて、オプトアウトを守らずひたすらspam送信を繰り返して有名になった業者が俗に"ad-wing"と呼ばれていたり、 今回のspam宣伝サイトを追っていくと辿り着くICHIGO-CLUB.NETの連絡先アドレスがwing-n@gamma.***.ne.jpだったりと、 関連を示唆するものがいくつも見つかるのです。
それに、ドメイン情報に郵便番号"104-0061"というのが見つかり、これは中央区銀座なのですが、住所のほうは別のもの（練馬区大泉学園町）が書かれており、 慌てて書き換えて失敗したんだなと推測できますし、「銀座」でOCNのADSL回線を使うと、丸の内APがリモート・ホスト名として使われます。
spamの宣伝サイトなどに出てくるドメイン所有者を調べると、銀座の「Dai2wingBill」（BillはBuildingの意？）というものも出てきて、ここにも"wing"が現われてきます（もちろん"〒104-0061"）。
すでにこれらの関連については（具体的な繋がりは不明ですが）、周知のものとなっています。

そして2002年10月18日頃から、spam本文に〒104-0061 東京都中央区銀座8-19-3 第2ウイングビル 3Fと記載されるようになりました、これは上の情報に矛盾のない唯一の住所です （ただし2003年10月9日頃から、その住所を隠してspam送信を行なうようになりました）。
その住所には「銀座第２ウイングビル」が実在し、３階には私設私書箱があるので、少なくとも上記宛て郵便物は、「ムトー」に届くのでしょうね。

高崎さんのサイトの掲示板に登場した「spammer本人」の、一連の書き込みにおいて、2002年10月21日(No.4869)に名乗ったのが、ウインググループ代表 野上幸雄でした。
実は"wing"だけでなく、"Yukio Nogami"がもう一つのキーワードで、上記「銀座第２ウイングビル」の案内板にはウイング野上株式会社の記載もあるとのことです。

それから、Angel Cafe（天使喫茶）さんの、『携帯ＳＰＡＭ 果てしなき戦い編』というページを見ていたら、 ７月の"ad-wing"の行為と宣伝サイト（名）が載っていました。
そしてその後の動向を含めて、『史上最悪業者 ad-wing 総括編』というページが特設されています（170KBくらいあります）。
そこには、「貴婦人クラブ」, 「逆援助会」, 「森正男」, 「マーベラスクラブ」, 「ＭＡＸ特殊情報社」など、今回の「ロリムトー」spamでも宣伝されている名前が連なっていました。 参考 → 宣伝サイト一覧マトリックス（表３）
それにしても、オプトアウトも効かず、23日間に301通もの"ad-wing"spamを受信されたとのこと、これはひどい（私の最高受信は、31日で248通）。
携帯電話spamの手法を、今度はPC宛てspamに利用した結果、こんなに問題が表面化したというオチでしたか。
ちなみに、『史上最悪業者 ad-wing 総括編』に記されている送信者アドレスを見ると、実に興味深いです。

アドレス収集の手口

spammerがspam送信用のアドレスを得る方法は、いくつかあり、「ロリムトー」は、複数の方法を採っています。

アドレス収集ソフトの使用（確実）

ちょうど検索エンジンのロボットのように、web上を自動巡回して、HTMLソース上のアドレスを拾い集めるソフトが多数存在しています。
「ムトー」は、このようなソフトを使って、送信用アドレスを入手しています（下の表参照）。
User Agentは、"Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"を名乗っています（これは(株)全信協と同じ）。
ちなみに、「ムトー」が使っているソフトには癖があるので、アドレス収集を回避する方法はあります。

受信拒否リストからの抽出（確実）

「ムトー」spamには、受信拒否用のアドレスが表示されています。
ただし、そこへアドレスを伝えても、spam送信は止まりません。
それどころか、まっさらな（誰にも教えていない）アドレスを「受信拒否アドレス」として「ムトー」側へ伝えると、そのアドレスへspamが届き始めるという事態が起こっています。
これは、いわゆるオプトアウト(opt-out)方式の意味を無にする最低最悪の行為です。
日本のspammerでここまで劣悪なことをするところは、殆どいなかったのですが、「ムトー」がそれを大々的に行なってしまいました。

アドレス・リストの購入（ほぼ確実）

上記などの方法で集めたアドレスを、販売する業者が存在します（「ムトー」のspamにも、そういう宣伝がありましたね）。
spamの再送停止を求める人のアドレスをまとめて、販売する業者もいます。
「ムトー」は、こういう業者から、アドレス・リストを購入し、spam送信をしているようです。

適当な文字の羅列を生成し、送信してみる

例えば@niftyのアドレスは、AAA00000@nifty.comのように、アカウント部分が「英文字３桁＋数字５桁」と決まっており、別のアドレスを取得しても、このアカウントの方も生きているので、 手作業またはソフトウェアによって、どんどんアドレスを生成することができます。
（もちろんAAA00000〜ZZZ99999まですべて埋まっている訳ではないので、ユーザのいないアドレスが多く存在する）
公開したことのないアドレスに届く例は、これが多いのですが、上記アドレス販売業者も同じ手口でアドレス数を水増しするので（実例：自称「さわやかさん」）、「ムトー」自身がこれを行なっているかどうかは特定できません。
なお、ソフトでアドレスを生成するのは、適正化法違反です（第五条）。

以下は、実際に収集された時の情報です。
「受信順」は、最初に受信した時を記しています。

荒らし・脅迫行為

ここでは、掲示板荒らしや脅迫・メイルボム行為を、私の知る限りで列挙します。
中には便乗の騙りがあるかもしれませんので、あくまでも「自称ムトー」の行為として見てください。
もっとも攻撃を受けている高崎さんのサイトへの攻撃は、 『2002年秋以降に発生している当サイトおよび関連スパム反対サイトへの嫌がらせ・攻撃について』もご覧ください。

2002/10/ 8 (12:06) 高崎さんの掲示板

「武藤からの忠告」の題で、訴訟を起こしたと脅迫。　また、投稿者のハンドルを列挙して、業務妨害を行なったと言いがかりをつける。　（訴訟の事実はなく、業務妨害の行なわれた証拠はない）

2002/10/ 8 (13:04) 此見さんの掲示板

「お知らせ」の題で、高崎さんの掲示板と同一内容を投稿。　書いてある投稿者ハンドルも同じなので、こちらの掲示板を訪れるかたには見覚えのないハンドルもあって、意味不明だったかも。

2002/10/ 8 (13:10:22) 当掲示板

「訴訟のお知らせ」の題で、上記２件と同じ内容の投稿。　なお、投稿者の接続業者に対して、証拠用のログ保持依頼済み。

2002/10/ 8〜12 高崎さんの掲示板

投稿者名を変えての偽装投稿、（謎の番号へ）電話連絡を強要する投稿、同一内容の連続投稿、高崎さんを詐欺と中傷する投稿などを行なう。　詳細は高崎さんご本人のページに書いてあります。

2002/11/13 高崎さんの掲示板

投稿者のお一人であるすずもとさんを中傷し、彼の投稿内容（フリービットからの回答）をデタラメと批難（すずもとさんと同様の回答は、私をはじめ多くのかたが受信しており、この投稿者"ロリロリムトー"の発言こそデタラメ）。

2002/11/15 SpamCopの報告

SpamCopへ、メイルボムかspamか嫌がらせメイルか判りませんが、報告がされており、後の嫌がらせメイルやメイルボムと同じヘッダが記録されています。

2002/11/16〜当分の間 高崎さんの掲示板

皆の冷静なツッコミにグウの音も出なかったのか、内容のない発言の連続投稿（荒らし行為）を開始。　ただし投稿制限のため、ロクに荒らせず。
かなり長い間続いていました。
参考資料：ムトーが書き込みに利用したホスト情報

2002/11/16 高崎さんの記帳板（spam関連でない掲示板）

前記掲示板が思ったように荒らせなかったので、高崎さんが管理する別の掲示板を、無内容連続発言で荒らす。

2002/11/19 すずもとさんの掲示板

内容のない発言の連続投稿に始まり、脅迫文を投稿。　掲示板を一時閉鎖せざるを得なくなりました。

2002/11/19〜20 スパム反対運動ML連携掲示板

spam容認の発言はまあ良いとして（主張すること自体は違法ではなさそう）、他に、あまり内容のない発言、個人を中傷する発言などの連続投稿。

2002/11/21 TCEさんへの脅迫・メイルボム

上記ML連携掲示板へメイル・アドレスを記載していたTCEさんのところに、「むとー」を名乗るものからメイルが届き、それへ返信したところ、500通ものメイルボムを受信。 また、最後には脅迫とも読める内容のメイルを受信。
メイルボムのうち478通分が、一連のspamと同じ送信設備から送付されていたとのこと。　詳細はTCEさんご本人開設のページを参照。

2002/11/23〜24 ２ちゃんねる

スレッド『しじみともものコラボレーション対策本部 』（過去ログ415KB） にて荒らし発生(#690〜695,#701〜703)するもすぐに削除措置。
また、「メルアド企画（現・POP.JAPAN）」を監視しているスレッド『●●●メルアド企画の悪あがきReturn●●●』の#557にも、 ML連携掲示板と似たような文体の書き込みがありました（現在dat落ち）。

2002/12/ 7 姉妹サイト掲示板

「掲示板spam投稿」を扱っている姉妹サイトの掲示板に、無内容の書き込みを、4時間以上に亘って200件近く書き込んでいました。

2002/12/ 9〜12 高崎さんの掲示板

また荒らし行為が再開。　罵倒やハンドルの騙りなど、あまりに酷い内容ですが、投稿制限のため、殆どの投稿は撥ねられている模様（成功率は１％にさえ満たないらしい）。

2002/12/ 9〜10 スパム反対運動ML連携掲示板

ここにもまた、内容のない書き込み、他人の文章の無意味なコピーが投稿されていました。

2002/12/10 脅迫メイル

SpamCopへ、罵りの言葉が件名になっているものが報告されていました（ヘッダしか表示されないので内容は不明）。 11/15の報告、および11/21と12/14の脅迫メイルとローカル・ホスト名などの諸条件が一致しています。

2002/12/12 姉妹サイト掲示板

再び、姉妹サイトの掲示板に荒らしがありました。　2時間弱で9件の書き込みです。

2002/12/14 各掲示板へアドレスを記載したかた達への嫌がらせメイル

メイルボム予告の送付や、実際にメイルボムを実施。

2003/ 1/ 5 姉妹サイト掲示板

年が変わっても、やることは変わらず。
また姉妹サイトの掲示板に無意味な書き込みがされました。　これまでの「ムトー」と矛盾しない条件・行動が記録されています。
ただし2件目がプログラムによって阻止されたので、結果的に1件の荒らし行為で諦めたようです（排除ログに記録されている）。

その後も、管理人削除になるような書き込みを行なっており、2003年5月下旬には、また此見さんや北斗さんの掲示板で暴れています。

（この他にも、いろいろな荒らし行為を目に耳にしているのですが、完全に「ムトー」の行為と決めつけづらい部分もあるし、公表を控えておいた方が良いだろうという情報も混じっているので、掲載はしていません）