スキャナーをかけてみる

メールの内容から偽アンケートサイトは「politics.jezeim.com/anknet_0704/」ということは明らかなのでこのURLをスキャナーにかけてみました。

• Virustotal 0/38（2013-07-06 00:19:08 UTC）
• URL Query Report
• Aguse サイト politics.jezeim.com/anknet_0704/ の調査結果
• Symantec Norton Safe Web Report (未評価)
• Gred gredでチェック（このサイトは安全です。）
• TrendMicro Site Safety Center （危険）
• McAfee SiteAdvisor (これは不審なリンクです。)

サーバーはフィリピンのIPアドレスを指していますが、ドメインは国内の業者使って登録しています。登録日も2013年6月17日に取得しているので半月前から準備していたのでしょう。配信停止先に指定されていた「stopmail.info」も同日に取得されていたドメインでした。
スキャナーの結果を見る限りこのサイトから別ドメインへの接続は行われないようです。そのせいか安全と判定しているスキャナーもありますね。サーバー側で振り分けをしていない限りは、誤ってアクセスしてしまった人がExploitKit等の悪性サイトへ飛ばされることはないようです。(Virustotalの反応が今一だったりGredが安全と判断したのはそれが理由だと考えられます。)

アクセスしてみる

というわけで早速アクセスしてみたわけですが何故か403でした。

ドメインのみだとFedoraのテストページが表示。

Tor経由でアクセスしてみる

先のAguseの結果を見る限りサーバー上のコンテンツは存在したままということは確かで、クエリについている識別情報でアクセス管理しているのかとも考えましたがメールの文例を見ると識別情報らしきものが付いていないのも多数でした。IPではじいている可能性を疑ってTor経由でアクセスしてみたところ、案の定表示されました。

（追記）2013年7月14日
別パターンも確認されているようです。URLから7月9日頃に準備されたものと考えられます。トップページだけ別のもので、個人情報を入力させるページは7月4日のものと変わりありません。

個人情報入力画面は前の画面で選択した支持政党の他、次の項目の入力が要求されます。

• 名前
• メールアドレス
• 年齢*1
• 性別
• 住所（都道府県のみ）

画面下部には偽のプライバシーマーク・ベリサインシールが表示されています。使われている画像は古いシールなのでシールマニアな人が見ればすぐに分かりますね。Pマークも古いものが使われたままでした。（nilnilさんありがとうございます。）

　
アンケートページのソース見るとコメントアウトされた文字列に「衆議院選」や「国民の生活が第一」もあるので2012年の衆議院選でも同様に使われていたかもしれません。

　
調べてみると2012年12月の衆院選の頃も似たようなメールが飛んでいたようです。

• 今日のスパム　：　２０１２衆院選緊急ネットアンケートのお願い
• このメールは、なりすましメールの可能性があります。 | inchiki:log

メールの内容も似ていますね。この時の反応が今一だったせいか、今回はKindleに加えて、現金10万円とAmazonギフト券が追加されたのでしょうか。

２０１２衆院選緊急ネットアンケートのお願い

• • • • • • • • • • • • • • • • • • • • • • • • • • -

先の見えない日本経済、尖閣・竹島を巡る外交問題、破綻寸前の年金問題、原発は維持か廃止か、乱立政党そして第３極は？大混乱の衆院選の行方を占うアンケート調査を実施しております。是非ともご協力ください。
xxxx//ycbf.biz/anknet/
ご回答いただいた方の中から、抽選で100名様に『Kindle Paperwhite』をプレゼントいたします！
第46回衆院選直前緊急ネットアンケート第一弾！
これからの日本を任せられる次期首相にふさわしいのは誰だと思いますか？
↓↓回答はコチラ↓↓
xxxx//ycbf.biz/anknet/
第46回衆院選直前緊急ネットアンケート事務局
■このメールは送信専用です。
配信停止は下記アドレスに空メール送信してください
(配信停止には若干お時間をいただく場合がございます。ご了承ください)
kyohi@ycbf.biz

偽アンケートサイトそのものは現在も稼働中です。いつ再開されるかわかりませんし、また似たような手口でメールが送られる可能性もあり、メールを受け取られた方は注意が必要ですね。

もう少し調べてみた。（2013年7月7日追記）

上のサイトのAguseの結果を見ると同じサーバー（122.202.100.236）に対して、複数のドメインが割り当てられていることに注目しました。
次のドメインです。（リンクは全てAguse）

• grea.asia(ドメイン取得日：2012年9月22日）
• xffmpzgmail.com（ドメイン取得日：2013年4月24日）
• uuikhgazti.info（ドメイン取得日：2012年11月30日）
• prfl.net（ドメイン取得日：2012年9月7日）
• maaddgspam.net（ドメイン取得日：2012年11月30日）
• mbgsatumpm.net（ドメイン取得日：2012年11月30日）

これら検索してみると色々と出てきますね。

• また迷惑メールが届きました。 - 【●電脳情報講座●】 - Yahoo!ブログ
• 最近こんな怪しいメールが毎日、く〜る〜｜kenken8の『ひつまぶし』ブログ

コメントで過去の掲載内容残すぐらいなので管理も雑だろうと推測し、ドメインは参議院アンケートの「politics.jezeim.com」そのままでディレクトリ、ファイル名だけ過去報告が出ていたものを入力してみると予想通り過去使われていたであろう内容も残されたままでした。




　
入力する個人情報欄も参議院アンケートと共通です。



　
一応運営元の情報や利用規約もありますね。規約上は削除も受け付けているようです。


　
この中で気になるドメインが一つありました。「prfl.net」は大分県のサークルサイトとして使われていたドメインのようで、他のアンケートサイトとは異なる構成です。「contact」にはSNSのアドレスも掲載されており、参照したところSNSのプロフィール欄にもこのサイトのURLが掲載されていました。このサークルが管理しているサーバー（何故フィリピンなのかという疑問はありますが）が乗っ取られた可能性が考えられます。

　
ただ「diary」に掲載されていた写真、文面が気になりました。全く同じ写真が全く別の方のblogに掲載されており、最初は日記を書いた本人のBlogかとも思いましたが、女性しかいないはずのサークルにも関らず、同じ写真が掲載されていたBlogは男性が書いているようです。またこのBlogの持ち主は2012年3月末で更新停止宣言をしており、以降は今年3月に1回だけ更新されているのみでした。さらにこの方のBlogの日付と「diary」に掲載されていた日付は大きくずれていますね。文面もほとんど一緒であり、もしかすると第三者がこの方のBlogを限りなく参考にしたのでしょうか。

• diaryに掲載されていた画像

• 別の方のBlogに掲載されていた画像

引用元：『KAB56 五十六屋　冠地鶏』 KAB56 五十六屋 冠地鶏｜ワシの日記 〜ポジティブログ〜

いくつか疑問に思うところはありながらも偽アンケートサイトとは異なり、サークルの純粋なコンテンツとして作られているように見受けられ、偽アンケートサイトとこのサークルのサイトとの関連は不明です。

更新履歴

• 2013/07/06 AM 新規作成
• 2013/07/07 PM 関連すると思われるドメインの調査分を追記。
• 2013/07/14 PM 参院選アンケート別パターンを追記。