プライベートで使っているメールアドレスへ、とあるSPAMメールが届きました。
SPAMフィルタ除けに余計な文字を含む件名、怪しいURLと日時くらいしか無い本文。あまりPCに詳しくない人でも、このURLを踏んだら明らかに危ないと感じるレベルです。
でもここ最近疲れて判断力が鈍っていたので、うかつにもURLの先がどんな怪しいところなのか、aguse.jpを使って調べてしまいました。
その結果、怪しいURLのサイトはマルウェアは無さそうでしたが、ブラックリスト判定で1つだけCautionとなっていました。
その時は「ふーん、大した事無さそうだな」と思っていました。その時は。
翌日、またメールをチェックしたら、同様のSPAMメールが100件以上届いていました。どうやら最初のSPAMメールは広くばら撒いておいて、怪しいURLにアクセスのあった≒メールアカウントが使われていて、かつ騙されやすそうな人へ集中的にSPAMメールを送り付けているようです。
つまりaguse.jp経由であっても、怪しいURLへのアクセスは要注意なのです。。。orz
ちなみにSPAMメールのヘッダを見てみると、
---------------------------------------------------------------------------------------------------------------------
Received: from stc-k841.anoz6fwn (stc-k841.anoz6fwn [103.48.38.7] (may be forged))
by xxxxxxxxxxxxxxxxxxxxxx (shby/4510220515) with ESMTP id u85AQIu5030265
for <xxxxxxxxxxxxxxxxxxxxxxx>; Mon, 5 Sep 2016 19:26:20 +0900
Received: by stc-k841.anoz6fwn (Postfix, from userid 1002)
id 8A795B9340; Mon, 5 Sep 2016 19:26:14 +0900 (JST)
Received: from hencoh.uuejne (unknown [10.253.241.241])
by localhost (Postfix) with ESMTP id C7BADB910F
for <xxxxxxxxxxxxxxxxxxxxxxx>; Mon, 5 Sep 2016 19:26:10 +0900 (JST)
---------------------------------------------------------------------------------------------------------------------
とあり、ANSI Whoisで[103.48.38.7]を調べたところ、
---------------------------------------------------------------------------------------------------------------------inetnum: 103.48.38.0 - 103.48.38.255
netname: RISELLC-JP
descr: 2-8-17 fukumuromansyon314, Fukumuro
country: JP
admin-c: RLA7-AP
tech-c: RLA7-AP
status: ALLOCATED NON-PORTABLE
mnt-by: MAINT-RISELLC-JP
mnt-irt: IRT-RISELLC-JP
changed: info@rise-info.net 20150119
source: APNIC
irt: IRT-RISELLC-JP
address: 2-8-17 fukumuromansyon314, Fukumuro, Miyagino-ku Sendai-shi Miyagi 983-0005
---------------------------------------------------------------------------------------------------------------------
仙台市宮城野区にある福室マンションが、住民に提供しているインターネット接続サービスのIPアドレスのようです。
ここにSPAM送信者がいるのか、ここの機器が踏み台にされているのか。。。
