私は、「ネットワーク攻撃記録」のページで、私のサーバに対するネットワーク攻撃をさらし者にしています。このコンテンツには英語のページも用意しているのですが、どうせ攻撃者は、私のサイトを攻撃すればさらし者にされるなんてことは知らないでしょう。攻撃検出件数はどんどん増えています。
スパムメール(大量配信迷惑メール)を中継させようとする攻撃も増え続けています。そして2002年3月8日、新手のスパムメール中継攻撃が現れました。私のサイトのドメイン名を偽の差出人アドレスとしてかたってよそへスパムメールを中継させようとしたものです。攻撃者は、韓国のkornet.netというドメイン(おそらくインターネットサービスプロバイダ)のユーザーと思われます。
「スパム中継攻撃記録」のページで自動表示されるログがロールアウトしないうちに、ここにそのコピーを永久にさらすことにしました。
Mar 8 06:32:50 unknown [211.219.235.140] from=<bbbb@gabacho-net.jp> to=<******@empal.com>
Mar 8 06:32:55 unknown [211.219.235.140] from=<good@gabacho-net.jp> to=<******@empal.com>
Mar 8 06:33:01 unknown [211.219.235.140] from=<abc@gabacho-net.jp> to=<******@empal.com>
Mar 8 06:33:07 unknown [211.219.235.140] from=<aabb@gabacho-net.jp> to=<******@empal.com>
Mar 8 06:33:12 unknown [211.219.235.140] from=<aacd@gabacho-net.jp> to=<******@empal.com>
Mar 8 06:33:18 unknown [211.219.235.140] from=<abcd@gabacho-net.jp> to=<******@empal.com>
Mar 8 06:33:24 unknown [211.219.235.140] from=<hello@gabacho-net.jp> to=<******@empal.com>
Mar 8 06:33:29 unknown [211.219.235.140] from=<day@gabacho-net.jp> to=<******@empal.com>
Mar 8 06:33:36 unknown [211.219.235.140] from=<baby@gabacho-net.jp> to=<******@empal.com>
Mar 8 06:33:41 unknown [211.219.235.140] from=<cccc@gabacho-net.jp> to=<******@empal.com>
Mar 8 06:33:47 unknown [211.219.235.140] from=<cat@gabacho-net.jp> to=<******@empal.com>
Mar 8 06:33:53 unknown [211.219.235.140] from=<andy@gabacho-net.jp> to=<******@empal.com>
Mar 8 06:33:58 unknown [211.219.235.140] from=<aaab@gabacho-net.jp> to=<******@empal.com>
Mar 8 06:34:04 unknown [211.219.235.140] from=<aaac@gabacho-net.jp> to=<******@empal.com>
Mar 8 06:34:09 unknown [211.219.235.140] from=<aaad@gabacho-net.jp> to=<******@empal.com>
Mar 8 06:34:15 unknown [211.219.235.140] from=<aabb@gabacho-net.jp> to=<******@empal.com>
Mar 8 06:34:21 unknown [211.219.235.140] from=<aabc@gabacho-net.jp> to=<******@empal.com>
Mar 8 06:34:26 unknown [211.219.235.140] from=<abcc@gabacho-net.jp> to=<******@empal.com>
|
これで私のメールサーバがだまされるとでも思ったのでしょうか。ふっ、馬鹿者め。
これまで、スパムメール中継攻撃は、メールの第三者中継(自サイト以外から自サイト以外へのメールを中継すること)をしてしまうメールサーバを片っ端から機械的に探そうとするものばかりでした。しかし、今回の攻撃は、私のサイトのドメイン名をかたって私のサーバを攻撃したものですから、完全に機械的なものではありません。
こういう攻撃を機械的にやろうとすれば、攻撃先のIPアドレスを順番に変化させ、そこからDNS(ドメインネームシステム)でドメイン名を逆引きするという方法が考えられます。しかし、私のサーバのIPアドレスから逆引きされるホスト・ドメイン名は「a.gabacho-unet.ocn.ne.jp」であって、「gabacho-net.jp」ではないのです。このことから、「gabacho-net.jp」というドメイン名をほかの手段で知って、それに基づいてDNSでIPアドレスを検索して攻撃をしかけてきたとしか考えられません。手当たり次第ではなく、私のサイトを意図的に狙ったきわめて悪質な攻撃と言わざるをえません。
メールサーバ管理者の皆さん、ご注意ください。あなたのメールサーバは、自サイトのユーザーが外出先から利用できるように、差出人アドレスが自サイトのものであればどこからでもメール中継ができるようにしてはいませんか?そうなっていたらやられます。「POP before SMTP」方式によって送信前に受信操作でユーザー認証を行うか、せめて外出先で利用するプロバイダを厳しく制限するなどの対策をとっていなければ危険です。
付記:ネットワーク攻撃記録の公表はとりやめました。