第1ページ:
[ロリムトーとは]
[問題点]
[トピックス]
第2ページ:
[動向]
[判別法]
["wing"の符牒]
[アドレス収集]
[荒らし]
第3ページ:
[ISPの回答]
[受信一覧表]
[割合グラフ]
参考サイト(リンク集)
図表:[接続情報]
[AP別送信状況]
[件名]
[NTTPC対応]
[里梨香]
古い情報:
[ISPの回答]
[受信リスト]
[判別法]
[ベッコカメ]
[宣伝サイト]
[里梨香系送信]
これより前のもの(ただし2003年4月以降)は、旧情報ページに残してあります。
2003年3月8日から9日にかけて「ムトーspam」が再発し、いつものNTTPC回線の他に、ZEROの回線も用いてspam送信が行なわれていました。
そこで、「ムトーspam」の送信された、ZEROのIPアドレスを、SpamCopでチェックしたところ、
同じアドレスから別のspamが報告されていたことに気がつきました。
それは「里梨香 14才(中2)」という件名の、児童ポルノ(?)販売spamです。
当方で「ムトーspam」を確認できたZEROの3アドレスすべてにおいて、その数日前に、「里梨香spam」が送信されました。
4月16日には、同じ日に「ムトーspam」と「里梨香spam」が送信されたことがありました。
(この4月の「里梨香spam」は、数も少なくヘッダも特殊なので、どちらかといえば試験送信に近いのだと思います)
その後も、日をおかずに「ムトーspam」と「里梨香spam」が続けて送信された例が何度もありました。
| IPアドレス | ドメイン名 | 2003/ 3 | 03/4 | 2003/ 5 | 2003/ 6 | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 3 | 4 | 5 | 6 | 7 | 8 | 9 | 15 | 16 | 25 | 26 | 27 | 1 | 2 | 3 | 7 | 8 | ||
| 211.130.131.5 | f-tokyo-131005.zero.ad.jp | ★ | ◆ | |||||||||||||||
| 211.130.132.24 | f-tokyo-132024.zero.ad.jp | ★ | ◆ | ◆ | ||||||||||||||
| 211.130.133.194 | f-tokyo-133194.zero.ad.jp | ★ | ◆ | |||||||||||||||
| 210.153.237.168 | pl680.nas928.o-tokyo.nttpc.ne.jp | ◆ | ◆ ★ | |||||||||||||||
| 202.215.19.71 | d71.gtokyofl4.vectant.ne.jp | ◆ | ★ | ★ | ||||||||||||||
| 61.197.106.77 | pl077.nas927.o-tokyo.nttpc.ne.jp | ◆ | ◆ | ★ | ||||||||||||||
| 61.197.75.51 | pl819.nas928.o-tokyo.nttpc.ne.jp | ★ | ◆ | ◆ | ||||||||||||||
| 210.165.127.103 | pl1127.nas925.o-tokyo.nttpc.ne.jp | ★ | ◆ | |||||||||||||||
(★=里梨香系spam , ◆=ムトーspam)
これを見れば、「里梨香spam」は「電子メール広告社」が送信したと考えるのが自然かつ妥当でしょう。
私自身は、2003年3月3日から4日にかけて、里梨香spamを8通受信しています。
そのうち4通は2002年12月から2003年2月にかけてムトーspamが届き続けた4アドレス(おとりアドレスのtrap-t, trap-t2, trap-t3, trap-t4)で、
残り4通は2003年2月に「ムトー」に収集されたアドレス(trap-13, trap-14, trap-15, trap-16)です。
前者4アドレスと、後者4アドレスは、それぞれがグループ(一緒のリスト)となって、spam送信に用いられています。
いずれのアドレスも、時期をずらして収集されたもので、これらのアドレスが一緒になったアドレス・リストを「ムトー」でないspammerが持っていることは、リストの譲渡・販売以外には考えられません。
ところが、それのアドレスへ同時に、いわゆる「ムトーのヘッダ」ではないspamが幾度も届いています。
| 宛先 | アドレス収集日 | 2003/ 2 | 2003/ 3 | 2003/ 4 | 2003/ 5 | 2003/ 6 | 03/ 7 | |||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 9 | 14 | 18 | 22 | 28 | 2 | 3 | 4 | 13 | 17 | 20 | 23 | 24 | 25 | 28 | 29 | 31 | 1 | 4 | 6 | 11 | 23 | 26 | 29 | 30 | 1 | 2 | 7 | 9 | 13 | 20 | 27 | 30 | 3 | 13 | 20 | 29 | 1 | 3 | ||
| trap-t | 〜02/10/31 | ◆ | ◎ | * | ★ | ○ | ※ | ◇ | ◇ | ※ | □ | □ | ▽ | 回 | ◎ | ▽ | 凸 | 凹 | □ | ▽ | ▽ | ◆ | ||||||||||||||||||
| trap-t2 | 02/11/ 1〜30 | ◆ | ◎ | * | ★ | ○ | ※ | ◇ | ◇ | ※ | □ | □ | ▽ | 回 | ◎ | ▽ | 凸 | 凹 | □ | ▽ | ◆ | ◆ | ▽ | ◆ | ◆ | |||||||||||||||
| trap-t3 | 02/12/ 1〜 4 | ◆ | ◎ | * | ★ | ○ | ※ | ◇ | ◇ | ※ | □ | □ | ▽ | 回 | ◎ | ▽ | 凸 | 凹 | □ | ▽ | ▽ | ◆ | ◆ | |||||||||||||||||
| trap-t4 | 02/12/ 4〜 9 | ◆ | ◎ | * | ★ | ○ | ※ | ◇ | ◇ | ※ | □ | □ | ▽ | 回 | ◎ | ▽ | 凸 | 凹 | □ | ▽ | ▽ | ◆ | ||||||||||||||||||
| trap-t13 | 03/ 2/12〜14 | ◆◆× | × | ★ | ○ | ◇ | ◇ | |||||||||||||||||||||||||||||||||
| trap-t14 | 03/ 2/15〜18 | ◆◆ | × | ★ | ○ | ◇ | ◇ | △ | ||||||||||||||||||||||||||||||||
| trap-t15 | 03/ 2/22 | ◆ | ★ | ○ | ◇ | ◇ | △ | □ | ◆◇ | |||||||||||||||||||||||||||||||
| trap-t16 | 03/ 2/19〜22 | ◆ | × | ★ | ○ | ◇ | ◇ | △ | ||||||||||||||||||||||||||||||||
| trap-t17 | 03/ 3/13〜17 | ◆ | × | □ | ||||||||||||||||||||||||||||||||||||
| trap-t18 | 03/ 3/26〜28 | ◆ | □ | |||||||||||||||||||||||||||||||||||||
| trap-t19 | 03/ 3/28〜29 | × | ◎◇ | □ | × | ◆ | ||||||||||||||||||||||||||||||||||
| trap-t20 | 03/ 2/22〜28 | × | × | □ | ◆ | |||||||||||||||||||||||||||||||||||
| trap-t21 | 03/ 3/ 5〜13 | × | × | □ | ◆ | |||||||||||||||||||||||||||||||||||
(◆=ムトー , ◎=飛びます , *=ほっとマガジン , ★=里梨香 , ○=白い粉
, ※=七福 , ◇=ソフト激安 , △=激安調査 , □=偽ブランド
, ▽=泥棒 , 回=幻覚 , 凸=架空名義 , 凹=尻有 , ×=その他)
(受信が24時を少し超えて翌日になったものも、当日としてまとめています)
ムトーspamを除くspamは、ヘッダの形式が特徴的かつ酷似しているのが興味深いです。
そして、これらのアドレス群に届いた時、同じspamが別のアドレスに一緒に届いたことはありません。
つまりそれらのspamは、同じ環境から送信された、同じspammerによる送信という推測ができます。
また、いずれのアドレスにも「ムトーspam」が届いているのという事実があります。
それから、3月31日に、trap-t19へ送られた「飛びますspam」と「ソフト激安spam」は、From欄に同じアドレスが書いてありました。
これは、ほぼ確実に「飛びます」=「ソフト激安」ということを意味しています。
前章で「同じspammer」という推測を書きましたが、実際の送信パタンからは、大きな流れが見られます。
それを明確な図(PDF形式)として示してくれたかたがいます。
→ 『またspamかー』(望月さん:「酔っぱらいお兄ちゃまの日々」内)
また、『それ逝けぼくらのアンパンspammer』(たかゆきさん:「りとる・ろまんす」内)という情報もあり、
それらを総合すると、以下の3つの流れが見えます。
です。
私の上表(表6-B)でいえば、上の4アドレスが赤線(元祖広告社から)、その下の4アドレスが黄線(Group3)ということになります(収集時期も、全く矛盾なく合致しています)。
(ただし当方では、赤線が伸びている「ネットチャンネル」について、上表(表6-B)のアドレスには届いていません)
もうひとつ、TCEさんのサイト内での考察『メールアドレスの流れ』にも、
これらの件について、興味深い事実が並べられています。
里梨香spamは8通のうちの「2通目」としたもの、表6-Bではおとりアドレス trap-t15 にあたりますが、そのアドレスを収集しに来たアクセス・ログが、当方に残っています。
02/22 09:38 Mozilla/4.0 (compatible; MSIE 6.0; Windows 98) [pl447.nas927.o-tokyo.nttpc.ne.jp]
(IE 6.0
というのは偽装です)
このpl447.nas927.o-tokyo.nttpc.ne.jpが見覚えあると思ったら、
2003年2月9日から24日まで「ムトー」spam送信に使用されていた回線でした(61.197.107.191)。
ちょうど、アドレス収集に使われた2月22日は、送信を休んでいますね。
| IPアドレス | ドメイン名 | 2003/ 2 | |||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | ||
| 61.197.107.191 | pl447.nas927.o-tokyo.nttpc.ne.jp | ◆ | ◆ | ◆ | ◆ | ◆ | ◆ | ◆ | ◆ | ◆ | @ | ◆ | |||||
(◆=ムトーspam受信報告 , @=アドレス収集)
このアドレスは完全に、収集時点では「ムトー」しか知り得ないアドレスです。
そのアドレスへspamが届くということは、送信者が「ムトー」であるか、「ムトー」がアドレス・リストを渡しているという結論しか導かれません。
ここで、ZEROのフレッツ東京接続のspamを表にしてみます。
(ZEROのフレッツ東京接続とは、f-tokyo-******.zero.ad.jpを指します)
(2003年5月20日以降は別ISPを使用するようになりました。
ですからそれ以降は、ISPにこだわらず、里梨香系spam送信の記録となっています)
| 種別 | 03/2 | 2003/ 3 | 2003/ 4 | 2003/ 5 | 備考(接続回線数など) | |||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 17 | 18 | 3 | 4 | 5 | 8 | 9 | 20 | 24 | 25 | 29 | 31 | 1 | 11 | 19 | 21 | 23 | 26 | 27 | 28 | 30 | 1 | 6 | 7 | 8 | 13 | |||
| ◆ | ムトー | ◆ | ◆ | ◆ | ZERO3+NTTPC6回線(3/8〜9) , ZERO1+NTTPC8回線(5/6) | |||||||||||||||||||||||
| ◎ | 飛びます | ◎ | ◎ | ◎ | ◎ | ◎ | ◎ | 3回線(3/29) , 3回線(3/31) , 7回線(5/7〜8) | ||||||||||||||||||||
| ★ | 里梨香 | ★ | ★ | ★ | 10回線 | |||||||||||||||||||||||
| ○ | 白い粉 | ○ | 10回線 | |||||||||||||||||||||||||
| ◇ | ソフト激安 | ◇ | ◇ | ◇ | ◇ | 10回線(3/24〜25) , 6回線(3/31) , 4回線(5/ 1) | ||||||||||||||||||||||
| △ | 激安調査 | △ | 8回線 | |||||||||||||||||||||||||
| □ | 偽ブランド | □ | □ | □ | □ | 10回線(4/11) , 6回線(4/19) , 7回線(4/23), 4回線(4/30) | ||||||||||||||||||||||
| ▽ | 泥棒 | ▽ | ▽ | 8回線(4/26) , 9回線(5/13) | ||||||||||||||||||||||||
| ☆ | 割れず | ☆ | 8回線 | |||||||||||||||||||||||||
| ▲ | ネットチャンネル | ▲ | ZERO2回線 メインはGMO(FreeBit)送信 | |||||||||||||||||||||||||
| Θ | アンパン | Θ | 7回線 | |||||||||||||||||||||||||
| Φ | コーク | Φ | 8回線 | |||||||||||||||||||||||||
| 種別 | 4 | 2003/ 5 | 2003/ 6 | 備考(接続回線数など) | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 16 | 20 | 21 | 25 | 26 | 27 | 29 | 30 | 31 | 3 | 4 | 28 | 29 | |||
| ◆ | ムトー | ◆ | ◆ | ◆ | ◆ | ◆ | NTTPC 8回線(4/16) , VECTANT 1回線(5/25) , SaiNet 1回線(5/30) , NTTPC(5/31・6/ 3) | ||||||||
| ★ | 里梨香 | ★ | ムトーと同じNTTPC 1回線(4/16) | ||||||||||||
| 凸 | 架空名義 | 凸 | 凸 | NTTPC 8回線(5/20〜21) | |||||||||||
| 凹 | 尻有 | 凹 | 凹 | VECTANT 7回線(5/26〜27) | |||||||||||
| □ | 偽ブランド | □ | □ | □ | SaiNet 8回線(5/29〜30) , NTTPC 3回線(5/31) | ||||||||||
| ▽ | 泥棒 | ▽ | ▽ | ▽ | ▽ | NTTPC 8回線(6/ 3) | |||||||||
ここに書いた「回線数」は、当方が確認できた分だけですので、実際はこの数とは多少異なると思います。
2003年2月17〜18日の「飛びます」は、接続回線を細かく調べていませんので、回線数は不明です。
2003年3月31日は、「飛びます」と「ソフト激安」が並行して送信されたので、同一送信者であると考えれば、3回線+6回線=9回線(以上)となります。
2003年5月29〜30日のSaiNet「偽ブランド」は、東京AP2回線+埼玉AP6回線で、8回線となっています。
上表を、各アドレス順に並べたのが、《表6-E:ZERO東京+α接続のspam送信状況》です。
ほとんどのアドレスはバラバラなため、大きい表の割には情報量は少ないので、別ページにしました。
送信ISPとなっているZEROへ電話で問い合わせたかたの情報によると、
ZEROではspam送信が確認されると、すぐに退会処分と回線切断措置を行なうようにしているとのことです。
それを踏まえて上表を見ると、送信IPアドレスがバラバラなのは、その都度回線断が行なわれているということを裏づけているようにも見えます。
(そして、処分を受けているにもかかわらず、再契約を繰り返しているという図式も顕わになっていますが)
しかし、5月20日以降の「里梨香spam」は、ZERO以外からの送信となりました(NTTPCやVECTANT)。
ZEROが「里梨香spammer」を追放することに成功したのではないでしょうか。
これらをまとめると、以下のような結論になります。
「ムトーspam」とここで紹介した多種のspamの送信者は、同一もしくは密接な関係にある。
「里梨香」と「ムトー」との緊密性は、上記情報などから、非常に高いことが判ります。
「なぜ別送信者のように装うのか」という単純な疑問の他は、別組織と言えるだけの根拠が見つからないほどです。
そして、その「里梨香」と同じ送信ソフトや送信リストを使っている「ネットチャンネル」や「七福・ほっとマガジン」もまた、「ムトー」と近い関係にあると考えるのが自然です。
一応、送信パタン・規模・地域などの差異から、「ネットチャンネル」や「七福」は、「ムトー」とは別組織ではないかとは想定されます。
もっとも、過去に「ムトー」spamも埼玉(大宮のホテル)から送信されたことがあるので、現時点では、完全に別物と断定するだけの材料は揃っていません。
2003年5月終わりには、彩ネット(SaiNet)の東京・埼玉両APから、同じ日に「里梨香」spamが送信されています
(「ムトー」spamも埼玉APから送信されている)。
ですので「七福」を完全に別のものと裏づける証拠はないのです。
それどころか、「●架空名義通帳・携帯・身分証」を実際に注文してみた人のリポート
『架空モノを検証してみました。』(探偵ファイル)によれば、(インチキな)商品は、草加局(埼玉県)から送られてきたとのこと。
「七福」の送信もNTTPC草加だったんですよね……。
これまでの考察により、2003年3月20日に多数送信された「白い粉のエクスタシー」についても、「ムトー」あるいはそれに非常に近しい存在からの送信と判断してもよさそうです。
「飛びますspam」もそうですが、これらのspamは、「spam」ということだけでなく「薬物販売」というもうひとつの問題も含んでいます。
「薬物販売」については、受信したら即座に、各機関へ通報するべきでしょう。
通報先1:『薬物に関する情報提供のお願い』(警視庁/銃器薬物対策課)
通報先2:『薬物密売情報通報フォーム』(厚生労働省/麻薬取締官)
その他、(受信者の)地元の道府県警察ハイテク犯罪相談窓口なども、通報先としては適切と思われます。
(この章は、臨時に設置していた『特設:「白い粉のエクスタシー」』をまとめたものです)
[ サイト・トップ ]
[ spam展示場入口 ]
[ 「ロリムトー」spam特集トップ ]
[ spam送信の動向 ]
[ 当方の受信履歴 ]
[ リンク集 ]
[ 表1:接続AP情報 ]
[ 表2:AP別送信状況 ]
[ 表4:件名一覧 ]
[ 表5:NTTPC対応 ]
[ 表6:里梨香spamとの関係 ]
[ 古くなった情報 ]