垃圾车で巡回してみるが事故る
SENJUのごみ漁りをきっかけに偽サイトに興味を持ち始めたのですが、既に先駆者が色々とやっている中で中身のないことを書いてて嘲笑されてるんじゃないかと思いながらも懲りずにごみ漁りを続けていたら、ビジネスとして詐欺サイトを調査されている会社さんのページに遭遇しました。
偽サイト情報を集めている会社さんあるんですね!知らんかった(汗)https://t.co/tPuQqV8zYq
— tadmaddad (@tadmaddad) 2020年5月3日
このGWは、暇すぎるのでボケ防止にコードを(書くこと&弾くこと)を日課にしていたのですが、上記の会社さんの記事でギター販売の偽サイトも紹介されてることを知り、ちょっと漁ってみました。
これら偽サイトはほぼ内容は同じではあるもののサイト(ドメイン)ごとに記載されている住所やメールアドレス等はいずれも異なるようです。また、サイトは単一のホスト上で運営されている模様です。
ひょっとしたら他にも偽サイトがあるのかな?ということで上記ホストに紐づく他のサイトも確認してみたところ、約1600サイトが紐づいているようです。これらサイトの全てが偽サイトであるかは確認できていませんが、幾つかのサイトをピックアップしてアクセスしてみたところ、上記の会社さんが紹介していた偽サイトと同様の作りとなっていることが確認できました。
せっかくなので定番のurlscanに放り込んでみたのですが
Yahooに飛ばされる状態に。。。 どうもurlscanさんはNordVPN経由でアクセスしているようで(自身のVPS環境に対してurlscanでアクセスして確認してみました。)、今回の偽サイトはurlscanのようなところからのクローリング対策をしているかもしれません。
仕方がないので自分でクローラーもどきでも作ってみようかということで、垃圾车(ごみ収集車)と命名したTor経由でクローリングしてみるも再びYahooに飛ばされちゃいました。その後、Tor + User-Agentのランダム切り替え実装するもダメ。これはやっぱマイナーなVPN借りるしかないかと思ったものの、結局は最近は全く使ってないVPS経由でやってみたころ、何とか行ける気配!(けどスクショ取ってない)
途中までうまくいっていたもののサイト構成によってスクレイピング失敗するのを修正して再々トライしたところ、再びYahoo行きとなりました。(同一IPからのアクセスなのでそうなるだろうと覚悟していたもののやっぱりやらかした感。)連中も色々と対策していることを身をもって知るGWとなりましたわ。やはりVPN契約するしかないのか。。。
ちなみに対象ホストってネットワーク的にはAS 32097 ( WholeSale Internet, Inc. ) なんだけど、コンパネを覗くと中国語なページなんですよね。
宝塔ってなんやねん?ってヘルプからアクセスしてみると中国の方向けのホスティングっぽいですね。
SENJUのごみを漁る - その2
昨日のごみ漁りでは、既に判明していた偽通販サイトのドメインを起点に漁ってみましたが、いずれもTLDが「.xyz」でした。そんな中、どうもテレビとかでは正規サイトは「.com」だ!なんて紹介が出ているようですけど「.com」もありますよ。
urlscan.ioを漁ってみる
- TLDが「.com」なゴミたち
www[.]speckebikes[.]com ※5/2時点でもサイトあり www[.]lunoaps[.]com ※5/2時点でもサイトあり www[.]superiorbackstreetdeli[.]com ※5/2時点でもサイトあり www[.]hoyavuitoday[.]com ※5/2時点でもサイトあり www[.]sushibentoland[.]com ※5/2時点ではおっぱい姉ちゃんが表示(注意!w www[.]citidexli-garden-city[.]com ※5/2時点では403エラー www[.]howlandenfieldfcu[.]com ※5/2時点ではドメイン失効
もし「.jp」なサイトもありましたらurlscanとかに放り込んで下さいな。
5/3追記
現状を整理しておくための図(特に新しい発見はありません)
SENJUのごみを漁る
2020年4月30日に消費者庁から「SENJU株式会社」と称する通信販売サイトを運営する事業者に関する注意喚起が行われました。この注意喚起を受けて報道も行われ、Twitterやブログ等でも取り上げられているようです。
消費者庁による注意喚起
「SENJU株式会社」と称する通信販売サイトを運営する事業者に関する注意喚起
注意喚起の詳細については上記を参照してもらうとして、このメモでは上記注意喚起において例示されていた通販サイト以外にも同様のごみサイトが存在することから、それらごみサイトを漁ってみた結果となります。
Let'sごみ漁り
消費者庁の注意喚起で例示されていた通販サイト2つ(viss[.]gscsistore[.]xyz、wbw[.]maorshop[.]xyz)の他、Twitterで紹介されていた別ドメインのサイト(funky[.]ushopgirls[.]xyz)をドメイン起点に漁ってみました。(やったことはMaltegoにVTトランスフォームを入れて対象ドメインを起点にGet Subdomainsを実行)
漁った結果
ごみを漁った結果、以下のホストが見つかりました。これらサイトの幾つかは接続できない若しくは通販サイトのコンテンツが確認できないものもありますが、いずれのホストについても今回の通販サイトを構築した人物(組織)が用意したドメイン配下ですので、これらホスト上で運営されているサイトは信頼すべきではないですね。
- gscsistore[.]xyzドメイン
ursal[.]gscsistore[.]xyz urs[.]gscsistore[.]xyz uta[.]gscsistore[.]xyz utamaro[.]gscsistore[.]xyz utas[.]gscsistore[.]xyz utible[.]gscsistore[.]xyz vco[.]gscsistore[.]xyz vesp[.]gscsistore[.]xyz vfea[.]gscsistore[.]xyz vf[.]gscsistore[.]xyz vfs[.]gscsistore[.]xyz viii[.]gscsistore[.]xyz viss[.]gscsistore[.]xyz vista[.]gscsistore[.]xyz viuva[.]gscsistore[.]xyz vivos[.]gscsistore[.]xyz vlos[.]gscsistore[.]xyz vlt[.]gscsistore[.]xyz voa[.]gscsistore[.]xyz vogel[.]gscsistore[.]xyz vuit[.]gscsistore[.]xyz wair[.]gscsistore[.]xyz RiskIQにて確認したホスト(5/2追記) urion[.]gscsistore[.]xyz usm[.]gscsistore[.]xyz uti[.]gscsistore[.]xyz uticas[.]gscsistore[.]xyz uund[.]gscsistore[.]xyz vcr[.]gscsistore[.]xyz vedro[.]gscsistore[.]xyz vhs[.]gscsistore[.]xyz vig[.]gscsistore[.]xyz vild[.]gscsistore[.]xyz vireo[.]gscsistore[.]xyz vj[.]gscsistore[.]xyz
- maorshop[.]xyzドメイン
sweal[.]maorshop[.]xyz swizz[.]maorshop[.]xyz swm[.]maorshop[.]xyz sy[.]maorshop[.]xyz totz[.]maorshop[.]xyz tou[.]maorshop[.]xyz tpd[.]maorshop[.]xyz tph[.]maorshop[.]xyz tpm[.]maorshop[.]xyz tpmp[.]maorshop[.]xyz tpo[.]maorshop[.]xyz tpr[.]maorshop[.]xyz tpt[.]maorshop[.]xyz trac[.]maorshop[.]xyz trah[.]maorshop[.]xyz trap[.]maorshop[.]xyz tr[.]maorshop[.]xyz utai[.]maorshop[.]xyz vc[.]maorshop[.]xyz RiskIQにて確認したホスト(5/2追記) swbw[.]maorshop[.]xyz swiwet[.]maorshop[.]xyz tp[.]maorshop[.]xyz tqc[.]maorshop[.]xyz vici[.]maorshop[.]xyz
- ushopgirls[.]xyzドメイン
beat[.]ushopgirls[.]xyz club[.]ushopgirls[.]xyz color[.]ushopgirls[.]xyz fit[.]ushopgirls[.]xyz focus[.]ushopgirls[.]xyz hike[.]ushopgirls[.]xyz let[.]ushopgirls[.]xyz line[.]ushopgirls[.]xyz lowes[.]ushopgirls[.]xyz out[.]ushopgirls[.]xyz play[.]ushopgirls[.]xyz range[.]ushopgirls[.]xyz ski[.]ushopgirls[.]xyz suit[.]ushopgirls[.]xyz tive[.]ushopgirls[.]xyz touch[.]ushopgirls[.]xyz well[.]ushopgirls[.]xyz wide[.]ushopgirls[.]xyz RiskIQにて確認したホスト(5/2追記) funky[.]ushopgirls[.]xyz rant[.]ushopgirls[.]xyz
漁ったごみはゴミ箱へ
魚拓を取ることも兼ねていつもお世話になっているurlscanに放り込んでおきました。