[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:1867] [FYI] Mail Bombing 対応顛末記

太田@タイムインターメディア です

 何をとち狂ったか、よりによってうちのサイトの MX に Mail 
Bombing を仕掛けて来た輩がありました。

 手口は某大手通信事業者のサイトにある複数の SMTP クライ
アントから、同時に 10 個前後のセッションを立ち上げ、エロ
サイトなどに由来した内容のジャンクメールを数千通/日という
ペースで送りつけてくると云うものでした。以下にその顛末を。


 とっかかりは 10/25 頃から始まって、攻撃を受けたユーザ
からの通告で状況を確認。当初のうちはそれほど深刻な
トラフィックではなかったこともあり、

 『(検閲などの社会的問題に関与することになるので)
  管理者の立場として、できれば MTA に触りたくない…』

とゴネて、とりあえずは whois で調べた技術担当連絡者のメール
アドレスに問題解決の協力を依頼する内容のメールを書いたが、
これはお約束通り「なしのつぶて」。

# 後日談:これは、RFC 的に abuse@xxxxxxxxxxxxxxxxx な
# アドレスに投げるのが正解…

 そうこうしているうちにマジに冗談じゃ済まないトラフィック
となってきたので、やむを得ず発信元クライアントのアドレス
から Reject するよう MTA の設定を変更。

 しかしながら、Reject するそばからヘッダを偽造したり新しい
クライアントへ乗り換えて攻撃してくるという、「いたちごっこ
状態」が一ヶ月以上も続いたので、今度は whois で調べた電話
番号へ電話。

 この電話番号、現在は業務用として使っている番号らしく、
電話口で対応してくれた先方のスタッフは

 『どうやってこの電話番号調べましたか?』

と、ちょっと吃驚したようでしたけど、事の顛末を説明すると

 『申し訳ないがそうした問題の対応は abuse@***.**.jp
  宛てのメールでお願いします…』

と丁重に案内される。それはまぁ極めてもっともな話なので、
そのアドレスへメールをしたのが 12 月のあたま。

 相変わらず bombing は続くわ、回答は来ないわで、ついに業を
煮やして社印と実印を捺印した FAX を whois で調べた FAX 宛て
に送付したら、やっと

 『調査して当事者がわかったら厳重警告をする』

という回答が来たのが 12/5 。

 翌 12/6 には、とりあえず bombing は終息。…が、しっかり
クライアントを切り替えて、またもや「猿 bombing」再開。SMTP 
のステータスを見れば MX のレベルで Reject されているのは明白
なのに、確信犯的にゴミトラフィックを送ってくる。

 いいかげん猿につきあって MTA をいじるのもうっとうしいので、
今度は

 『先般の申し入れに対応して厳重警告をしたとのことで
  あるが、依然として bombing は継続されている。威力
  業務妨害として法的手段に訴えたいので、この馬鹿を
  照会されたし。協力いただけない場合は、遺憾ながら
  業務妨害の幇助ということで御社に対しても法的手続き
  をとる可能性がある』

という主旨のメールと FAX を 12/13 に送付。

 今度は速攻でメールによる回答があって

 『現在調査中だが、今回の bomber は前回の者とは別人
  と思う。また電気通信事業法などの定めるところに
  より、通信の秘密保持からユーザ情報を開示すること
  には応じられない…被疑者不明のまま刑事事件として
  立件された場合には、司直への協力はする』

という回答。

 相変わらず bombing は継続しているので

 『偽造されている送信者アドレスなどの状況から bomber 
  は別名義であれ、同一人物であることは間違いない。
  当面は御社のご協力をあおぎ、問題の根本的な解決を
  期待するが、状況の改善が見られない場合は、この
  通信とログを証拠物件として、所轄裁判所に当該ホスト
  の運用停止の仮処分を申請せざるを得なくなる』

という主旨のメールと FAX を再度送付。

 翌 12/14 夕方に『当該者を調査の上、厳重警告すべく対応中で
あるので今しばらくの猶予を』という回答があり、その日の早朝
から bombing は止まっている模様。

# …やれやれ

…ということで、今回の一連の騒ぎでわかったことのサマリ:

1)メールより FAX の方が有効
  ・巷で噂されているように abuse 宛てメールはすべからく
    /dev/null にリダイレクトしているというわけではない
   ようだが、相応のトラフィックがあるので対応が鈍い?

  ・ FAX の送受信履歴を証拠として扱う判例があるため?

2)bomb 送信者の照会はできない
  ・ま、妥当な対応か…(他者の通信を妨害しないなど)
   通信事業者としての役務をまっとうしている限りに
   おいてだけどね

3)仮処分をちらつかせるのは効果的?
  ・緊急性が認められ、かつ違法(今回の場合業務妨害)と
   される可能性が高い行為に対抗するためとしての仮処分
   申請は、刑事事件の立件や民事的訴訟よりも迅速に対応
   してくれるから(…でないと仮処分の意味がない)?

  ・ま、こんなことでサーバ止められてマスコミなどの
   知ることとなったら体面上最悪だろうし (^^;;

 …しかしなぁ。この顛末に費やしたエネルギーど〜して
くれようか (^^#)
-- 
timedia [+81-3-5362-9009] % finger bugbird@xxxxxxxxxxxxx
Login: bugbird             Name: User Bugbird Toshiboumi Ohta
Directory: /network/admin  Shell: /bsd/tcp/mac/midi
On since Sat Aug 20 1955 (JST) on tyo from mama.and.papa


--[PR]------------------------------------------------------------------
┏━┓┏━┓┏━┓┏━┓年 を迎える皆さんへ!!
┏━┛┃□┃┃□┃┏━┛ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
┗━┛┗━┛┗━┛┗━┛名 にどど〜んと豪華賞品プレゼント!!
今すぐ〜〜〜〜〜〜〜〜〜 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
応募⇒ http://ad.freeml.com/cgi-bin/ad.cgi?id=aCKnZ
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp