私は、Gabacho-Netのサーバに対する不正アクセスの試みを検出してさらし者にする活動を2000年10月から続けています。そのきっかけは、私が外出先からサイトのメンテナンスができるように設けたログインサーバで不正なFTP（ファイル転送プロトコル）アクセスを拒絶している記録がかなりあることを発見したことでした。また、私のサーバにスパムメールを中継させようとする攻撃があることも前々から知っていました。そこで、セキュリティ対策が不十分なサイトの運用者に警鐘を鳴らすことを目的として、それらの不正アクセスの記録の公表を始めたのです。
　それ以来1年近く、サーバのログファイルを調べて不正アクセスを見つけ出し、そのデータを手動で掲載していました。当初は、発見件数は平均して2日に1回の割合だったので、さほどの手間ではありませんでした。ところが、2001年4月から急に件数が増えて、平均して1日に1回の割合になりました。同じ攻撃元からの連続攻撃も勘定に入れれば100回を超えた月もありました。減る気配はいっこうにありません。

　情報を頻繁に更新するのがだんだん苦痛になってきたので、表示の自動化を考えました。
　実は、HTTPプロクシー攻撃については、掲載を始めた時から表示を自動化していました。これは、私のウェブサーバにほかのサイトのデータを中継させようとする攻撃です（何のためにそんな攻撃をするのかはよく知りませんが、よそのサイトにアクセスを殺到させるなどのいやがらせのための踏み台にしようとしていることが考えられます）。これは、何箇所ものサイトのデータを中継させようとするアクセスが連続することがあって、手動で記録を掲載するのが大変だったので、最初から自動表示にしていたのです。
　このノウハウを活用して、さまざまな攻撃種別に応じてログファイルからデータを自動抽出して表示するプログラムを作成しました。

　さて、私は攻撃記録の表示の自動化を何ヶ月か前から考えていたのですが、いよいよそれに踏み切ったきっかけになったのは、Code RedおよびNimdaというコンピュータワーム（コンピュータウィルスと同様の悪質プログラム。ウィルスとワームの区別はさほど重要ではありません）による攻撃です。
　Code Redは、マイクロソフトIISというウェブサービスプログラムのセキュリティホールを突いてWindowsサーバに感染します。2001年8月上旬に猛威を振るいました。相手かまわず攻撃をしかけてくるので、私のサーバにも攻撃が来ています（私のサーバには痛くも痒くもないのですが）。その攻撃は、サーバのアクセスログに記録されたリクエストのパターンでわかります。これが、9月に入ってもなかなか収まりません。あれだけ騒がれてもセキュリティホールを放置している人が多いのです。
　そして、9月18日にNimdaが発見されました。Code Redと同じようにIISのセキュリティホールを突いてウェブサーバに感染します。さらに、そのウェブを見たブラウザに不正なスクリプトを送り込んで、インターネットエクスプローラ（5.01または5.5 SP2よりも前のバージョン）のセキュリティホールを突いて感染する（見ただけで感染する）という悪質なものです。これも相手かまわず攻撃するもので、私のサーバへの攻撃がアクセスログからわかります。

　私は、Code Redが猛威を振るった時から攻撃元を把握していましたが、公表を差し控えていました。攻撃元はCode Redというネットワーク犯罪の被害者だからと思っていたからです。しかし、Code Red騒ぎの時に、マイクロソフトが提供しているパッチ（補修）を施していれば、さらに悪質なNimdaに感染することはなかったはずなのです。
　Nimdaの発生の4日後の9月22日、私は、ほかのネットワーク攻撃記録とともに、Code RedおよびNimdaの攻撃記録も自動表示するようにしました。自分がサイバーテロリストの攻撃の被害者になったことに気付かず、よそに攻撃を拡大することによってその犯罪に加担しているのはもはや“罪”だと考えるからです。
　ただし、Code RedとNimdaについては、ほかの攻撃の記録（4週前以降）よりも短く、先週以降の記録だけを表示するようにしました。攻撃元には“知らないことによる罪”はあっても悪意はないのだから、さらし者にしておく期間を短めにしようと考えたのです。しかし、あまりに長く攻撃が収まらないなら、もっと長くさらすようにするかもしれません。Code RedとNimdaが完全に撲滅されたと判断するまで、この公開は続けるつもりです。

　ところで、Code Redが猛威を振るった初期のころには欧米からの攻撃もありましたが、その後は、ほとんどアジア・太平洋地域のIPアドレスからの攻撃です。Nimdaの攻撃は、最初から日本、韓国、中国、台湾など、ほとんどアジア・太平洋地域からで、現時点では、明らかに欧米からとわかったものは1件しかありません。これは何を意味するのだろうかと考えているのですが、今のところは事実を紹介するにとどめ、憶測でものを言うのはやめておきます。

---

付記：ネットワーク攻撃記録の公表はとりやめました。