現在地 HOME > 掲示板
> IT6 > 312.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT6 > 312.html
★阿修羅♪
|
|
| Tweet |
(回答先: 東芝のハードディスク・レコーダーがSPAMの踏み台に?【アキバBlog】 投稿者 バルタン星人 日時 2004 年 9 月 21 日 18:22:46)
ハードディスクレコーダーからのコメントスパム攻撃【セキュリティーホールmemo】ネット家電が踏み台の串(^^;
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2004/09.html#20040917_RD-XS40
東芝のハードディスクレコーダー RD-XS40 を外部に無認証公開すると、anonymous proxy と化してしまう模様。「ネットdeナビ」機能を塔載しているハードディスクレコーダーならみな同じでOpenProxyになってしまうらしい。
>「ネットdeナビ」でこんなことが出来る!
>http://www.rd-style.com/rdstyle/can/net_navi_amm.htm
>
>iEPG予約
>インターネットからクリック操作でラクラク予約。
>
>PCメール予約、携帯メール予約
>外出先から録画予約できる。メール通知で予約結果確認も可能。
ってもなあ、串になったのではシャレにもならない。そのうち、「炊飯器からスパム攻撃」なんてなったらそれこそ笑ってられない。(^^;
ハードディスクレコーダーからのコメントスパム攻撃
http://nlogn.ath.cx/archives/000288.html
今日、ものすごい量のコメントスパム攻撃があった。攻撃中に気がついたので、被害はそれほど大きくなかった。ログを見ていると、国内の IP アドレスからの発信がある。そのアドレスにアクセスしてみると、ハードディスクつきの DVD レコーダーだった。
コメントスパムの攻撃は、朝の 8:18 から始まり、13:42 に終わるまでに合計 794 件のアクセスがあった。そして、攻撃をしてくるサイトは 182 にものぼった。多すぎる。ホスト名が登録されていないサイトがほとんどだが、いくつかは登録されている。ホスト名がついているサイトのドメインを見ると、com, net, edu, ar, br, it, fr, mx, jp など全世界に渡っている。
bbtec.net, ne.jp, or.jp, co.jp という見覚えがあるドメイン名を発見。国内ではないか。コメントスパムの内容は英語なのに、国内から発信されているというのはどういう訳だろうか? 不審に思い、そのアドレスにブラウザでアクセスしてみると、見たことのあるような画面が表示された。「TOSHIBA ネットdeナビ RD-XS40」となっている。私が使っている RD-X3 と同じシリーズの製品である。ハードディスク DVD レコーダーが自分の意思を持って、暴走か? 上映中の「i, ROBOT」現実版か?
このハードディスク DVD レコーダーは、ネットワークに対応している。私が RD-X3 を選んだのもその点に大きな魅力を感じたからである。予約やタイトル変更がパソコンから行えるのだ。しかも自分で設定できる項目が多い(他社製品のように、「録画予約はうちのサイトのサービスを使え。ただしサービス料金を払え」というより柔軟であり、魅力的である)。パソコンからは Web ブラウザでアクセスして使う。つまり、ハードディスクレコーダー内に Web サーバ立ち上がっているのである。しかし、Web サーバには自立的に外部に対してアクセスを行う機能はないはずである。では、やはり暴走だろうか?
よく考えてみると、このハードディスク DVD レコーダーにはプロキシ機能があるはずである。録画予約は、インターネット経由でテレビ番組サイトにアクセスし、「iEPG」を使って登録をするのである。つまり、ハードディスクレコーダーをプロキシサーバーとして使っていることになる。問題は、レコーダーには「録画予約ページアドレス」としてサイトを登録させてアクセス先を限定しているのに、登録していないサイトにもアクセスできてしまうことにある。
もちろん、利用者の設定にも問題がある。レコーダの Web サーバの 80 番ポートを外部に公開してしまっているからである。公開しているのは、単に自分が便利だからだろう。通常、外出先から録画予約する場合は、チャンネルや時間を書いた定型のメールを出し、レコーダが POP3 でメールボックスから読み出すことで行う。その確認はできない。しかし、Web サーバを公開していれば、録画予約ができたかを確認できるし、録画ができたかも確認することができるのである。
外部に公開するのであれば、アクセスの際にパスワードを要求させるようにするか、ポート番号を 80 以外にする必要があるだろう。
マニュアルを確認したところ、「設定」の項目の記述は次のようになっていた。
本体セキュリティ
「使用する」: パソコンから本機にアクセスするときに、本体ユーザー名と本体パスワードの入力を必要とします。
「使用しない」: パソコンから本機にアクセスするときに、本体ユーザー名と本体パスワードの入力は必要ありません。
本体ポート番号
「80」: 通常は設定を変える必要はありません。うまく接続できないときや、機能の一部が働かないときに、2000〜10000の間で変更します。
HTTP プロキシポート
「80」: 通常は設定を変える必要はありません。変更が必要なときだけ、1〜65535の間で設定します。
間違ってはいない。しかし、説明が不足していることも確かである。
この踏み台レコーダの持ち主は、「まさか自分のハードディスクレコーダが不正アクセスの踏み台になっている」とは夢にも思っていないに違いない。マニュアルには、少なくとも「外部からアクセスできるようにした場合は…」という記述が必要だろう。
さて、コメントスパム攻撃されているのに気がついた私は、直ぐに「mt-comments.cgi」のリネームを行った。そしてサイト全体の再構築を終えて安心していると、5分後にコメントスパムが再開された。それも複数のサイトからである。このサイトでは、簡単ではあるがスパム対策は行っているのに(nlog(n): エラーにしないコメントスパム対策)、こんなに解析が早いのはなぜなのか? ログをよく見ると、「Referrer」が全く同じか、または少し違うだけではないか。800件近いコメントスパムの件数が正確に分かった理由も実はこれである。カラクリがやっと分かった(気づくのが遅すぎるが)。スパマーは、アノニマスなプロキシのリストを持っていて、そのリストにあるプロキシを踏み台にしてアクセスしてきているのであった。おおもとのサイトは、恐らく1箇所である。
導入を躊躇している最終手段、「日本語全角文字が入っていないと受け付けない」というコメントスパム対策をやるしかないか…。
最近は家電もネットワーク対応になってきている。そのうち、「炊飯器からスパム攻撃」が来たりして。
2004年9月21日追記:
Comment: RD-XS40ユーザー さんの通り、メールによる録画予約では、返信されたメールにより確認することができます。ご指摘ありがとうございました。
「HTTP プロキシポート」に関する引用を追加しました。
Posted by n at September 12, 2004 23:54 | Edit | Comments (2) | Trackback(46)
題名には必ず「阿修羅さんへ」と記述してください。