話ですが、so突然受信された送信者不明のSMSについての考察

ひとまず、下記のスクリーンショットをご覧ください。私のスマホで受信したSMSの内容は下記の通りです。

本文は次の通り。「お手数ですが、スマホで1日3万円以上稼ぎたい方はLINEからご連絡ください。 cutt.ly/NeqORO2d」

原文のままですが、くれぐれもURLにはアクセスしないでください。

このSMS（ショートメールメッセージ）を受け取る心当たりがまるでありません。送信者のUNPTというのも全く持って知りません。

それでは、送信者は一体だれなのか、確認してみることにします。

UNPTというところをタップします。

そうです。見てもわかるように、発信者の情報などが一切ありません。

では、「情報」というところをタップしてみます。

いやいやいや、おかしいだろ。

何の情報もないです。「メッセージ」、「発信」、「ビデオ通話」、「メール」、すべての項目がグレーアウトしています。

とりあえず、「この発信者を着信拒否」をタップします。

「この発信者の着信拒否設定を解除」という文言に変わりました。これで、今現状は、着信拒否設定になっているとは思います。また、「通知を非表示」にも設定します。

一応、対処はしました。

着信拒否設定ができるということは、内部に発信者情報がある可能性はないのか

今までの操作で、見かけ上は着信拒否設定に設定はできたと思われます。

ただ、それであれば、送信者の情報は私には見えないだけで、情報として残っているのだと思われます。

その調査については、一旦置きます。

送信者の「UNPT」というものに情報はないか

日本国内だと、UNPT hair salon website　など、無関係と思しき Web サイトがヒットします。ほかにも色々ありますが、調べても意味はなさそうです。

受信メッセージの中の「URL」に情報はないか

「cutt.ly/NeqORO2d」というURLに着目します。cutt.lyというドメインはどういう情報を持っているか、確認する。

Domain

Domain Name: cutt.ly

Registry Domain ID: 28265-CoCCA

Registry WHOIS Server: whois.nic.ly

Updated Date: 2023-11-30T14:11:18.638Z

Creation Date: 2018-01-13T22:00:00.0Z

Registry Expiry Date: 2030-01-13T22:00:00.0Z

Registrar Registration Expiration Date: 2030-01-13T22:00:00.0Z

Domain Status:

clientTransferProhibited

https://icann.org/epp#clientTransferProhibited

clientDeleteProhibited

https://icann.org/epp#clientDeleteProhibited

Registrant Contact

Registry Registrant ID: EZ0KC-weCsz

Registrant Name: Redacted | EU Data Subject

Registrant Organization: Web Room Studio

Registrant Street: Not Available

Registrant City: Gdansk

Registrant Country: PL

Registrant Phone: Redacted | EU Data Subject

Registrant Email: Redacted | EU Data Subject[Email]

Registrar

Registrar: Libyan Spider Network (int)

Registrar Abuse Contact Email: abuse@register.ly

Registrar Abuse Contact Phone: +1.8448469791

Name Server(s)

Name Server: june.ns.cloudflare.com

Name Server: ruben.ns.cloudflare.com

DNSSEC: unsigned

>>> Last update of WHOIS database: 2024-05-02T11:08:10.896Z <<<

For more information on EPP status codes, please visit https://icann.org/epp

ドメイン自体は、ポーランドみたいです。レジスタはLibyan Spider Network。知らんな。

IPv4アドレスはいくつか。

C:\>nslookup cutt.ly

名前: cutt.ly

Addresses: 2606:4700:10::6816:e8

2606:4700:10::6816:1e8

2606:4700:10::ac43:8ee

104.22.1.232

104.22.0.232

172.67.8.238

C:\>nslookup cutt.ly

名前: cutt.ly

Addresses: 2606:4700:10::ac43:8ee

2606:4700:10::6816:e8

2606:4700:10::6816:1e8

172.67.8.238

104.22.1.232

104.22.0.232

すごいね、毎回IPアドレスを変えて、DNSで負荷分散しているみたいですね。

とりあえずIPv4だけ確認。init7でtraceroute でも確認しましょう。

traceroute to 172.67.8.238 (172.67.8.238), 30 hops max, 60 byte packets

1 r2win7.core.init7.net (213.144.137.193) [AS13030] 1.308 ms 1.518 ms 1.820 ms

2 r2win9.core.init7.net (5.180.135.31) [AS13030] 1.221 ms 1.335 ms 1.601 ms

3 r1win12.core.init7.net (5.180.135.51) [AS13030] 1.190 ms 1.386 ms 1.621 ms

4 r1zrh11.core.init7.net (5.180.135.34) [AS13030] 1.477 ms 1.814 ms 2.167 ms

5 r1zrh11.core.init7.net (5.180.135.110) [AS13030] 1.557 ms 1.818 ms 2.158 ms

6 r1gva3.core.init7.net (5.180.135.194) [AS13030] 5.539 ms 5.324 ms 5.531 ms

7 cixp-cloudflare.cern.ch (192.65.185.228) [AS513] 15.137 ms 5.302 ms 5.436 ms

8 172.67.8.238 (172.67.8.238) [AS13335] 4.689 ms 4.668 ms 4.654 ms

traceroute to 104.22.1.232 (104.22.1.232), 30 hops max, 60 byte packets

1 r2win7.core.init7.net (213.144.137.193) [AS13030] 1.301 ms 1.604 ms 1.910 ms

2 r2win9.core.init7.net (5.180.135.31) [AS13030] 1.134 ms 1.315 ms 1.592 ms

3 r1win12.core.init7.net (5.180.135.51) [AS13030] 1.164 ms 1.488 ms 1.787 ms

4 r1zrh11.core.init7.net (5.180.135.34) [AS13030] 1.591 ms 1.933 ms 2.289 ms

5 r1zrh11.core.init7.net (5.180.135.110) [AS13030] 1.566 ms 1.842 ms 2.168 ms

6 r1gva3.core.init7.net (5.180.135.194) [AS13030] 5.158 ms 5.103 ms 5.449 ms

7 cixp-cloudflare.cern.ch (192.65.185.228) [AS513] 5.150 ms 26.999 ms 26.979 ms

8 104.22.1.232 (104.22.1.232) [AS13335] 4.729 ms 4.718 ms 4.687 ms

traceroute to 104.22.0.232 (104.22.0.232), 30 hops max, 60 byte packets

1 r2win7.core.init7.net (213.144.137.193) [AS13030] 1.055 ms 1.209 ms 1.524 ms

2 r2win9.core.init7.net (5.180.135.31) [AS13030] 1.013 ms 1.255 ms 1.558 ms

3 r1win12.core.init7.net (5.180.135.51) [AS13030] 0.970 ms 1.268 ms 1.570 ms

4 r1zrh11.core.init7.net (5.180.135.34) [AS13030] 1.633 ms 2.016 ms 2.427 ms

5 r1zrh11.core.init7.net (5.180.135.110) [AS13030] 1.776 ms 2.149 ms 2.408 ms

6 r1gva3.core.init7.net (5.180.135.194) [AS13030] 5.351 ms 5.427 ms 5.582 ms

7 cixp-cloudflare.cern.ch (192.65.185.228) [AS513] 5.346 ms 5.045 ms 5.010 ms

8 104.22.0.232 (104.22.0.232) [AS13335] 4.676 ms 4.652 ms 4.632 ms

name server も Cloudflare.com でしたが、どうもサーバー自体もCloudflare.com みたいですね（AS13335)。

ネットワーク組織 Level3だってさ。インドっぽいのか。

全てのホストで Low-Riskとのこと。そうだろうよ、自分のところのホストなんだから。ここでわかったのは、アメリカ合衆国のロサンゼルスのカリフォルニア州にあるホストということまでわかりました。

こいつらは本当に信頼されているホストなのか

IPアドレスなどからFortinet などのサイトで問題のないサイトなのか、そうでないのかを確認することができないか、考えてみます。

先ほどのIPv4アドレスで、不正なサイトの登録がないか、確認してみます。それには、abuse IPDBというサイトが使えそうです。

null: null

それぞれ、confidence of Abuse is 0% ということで、不正なものではないという評価ですね。

ところが、見てください。「This IP was reported 54 times.」とあります。このIPアドレス、172.67.8.238は54回も報告されています。ちょっとみてみます。

世界中、無差別に何かをやらかしているようですね。ジャパニーズも報告を上げています。

どうして問題のあるホストとして取り扱われないのか

推測の域をでないのですが、こいつ、すぐにファイルとか消しているようなんですね。証跡が残らないように。マルウェアをバラまいているのであれば、絶対よくないホストとしてとりあげられるはずなのに、謎です。

それと、URLを開いても、ラインのアカウントへのリンクだったりします。しかも、もうすでにそのアカウントは削除されています。

「該当するユーザーが見つかりませんでした。」となります。

このアカウントは、普通の　Line Developer のアカウントだと思われます。

ちなみに、URLの https://cutt.ly/ というのは、URLを短くするサービスのようです。そりゃ、無害だわ。

URL Shortener, Branded Short Links, Link Analytics | Cuttly: Cuttly is the free URL shortener for crafting custom branded short links, analytics, link management, bio links, QR codes and surveys. Start simplifying now.

ということは、cutt.ly を通じて、Lineにアクセスさせ、本来であればそこで送信者のLineアカウントにアクセスできるはずなのに、すでに削除されてしまっているので、お目にかかれなかったわけです。

ということは、唯一の手掛かりは、以下のURLだけです。

上記のQRコードのURLは、「https://line.me/R/ti/p/pVnYvHPakK」です。

アクセスしても、先のQRコードが表示されるだけですよ。

StackOverflow に参考になる記事があった

そもそも、今回は、送信者の電話番号がない状態のSMSを受信したことから始まりました。それはどういう理屈で実行したのか、という話ですが、Android で、SMS Gatewayというものを使えば実現できるような記事がありました。

Is this possible to hide/Change the sender mobile number while sending sms in android?: How can we hide/change sender's mobile number while sending a SMS to a receiver.For example if I send a sms to some number 1234567890, the receiver can receive my sms without knowing my number....

[ケータイ用語の基礎知識]第807回：SMSゲートウェイサービスとは　「SMS」（ショートメッセージサービス）は、全角文字最大70文字相当程度までの短いメッセージをやりとりするためのサービスです。https://k-tai.watch.impress.co.jp/docs/column/keyword/1061052.html

SMS gateway とはなんぞやという話ですが、要するに携帯電話会社とユーザーの間に介在する存在で、SMS以外から受信したものをSMSに流したりするようなことを実施するようだ。

ということは、SMSゲートウェイを使っている人間、またはそれを使える人間が最初のSMSを送ってきたと言えます。

また、その先の「https://line.me/R/ti/p/pVnYvHPakK」について、Line Developer に問い合わせをする方法もあります。