SCAN Security Alert 2K2-005 国内企業co.jpドメイン 8,833件が不正中継
SCAN 編集部は、8月にわが国国内の co.jp ドメインで公開されているサーバの実態調査を実施した。
現在、集計、整理中であるが、不正中継の実態について、注目すべき事実が発見されたので、速報としてお届けする。内容については、別途本誌でお届けするほか、詳細に
製品・サービス・業界動向
業界動向
現在、集計、整理中であるが、不正中継の実態について、注目すべき事実が発見されたので、速報としてお届けする。内容については、別途本誌でお届けするほか、詳細については、Scan Incident Report 誌に掲載する予定である。
今回の co.jp 調査において対象となったのは、国内の co.jp ドメイン 194,953件。SCAN編集部は、国内のドメイン、ホストについて独自のデータベースを保有しており、ここからco.jpドメイン約20万件を抽出し、調査を行なった。
ドメインで利用されている OS、WEBサーバ、POPサーバ、SMTPサーバの種類とバージョン、および不正中継データベースへの登録状況を確認した。
OSが特定できたのは、162,222件。
WEBサーバが特定できたのは、188,789件。
popサーバが特定できたのは、93,721件。
smtpサーバが特定できたのは、181,169 件。
不正中継データベースへの登録が確認できたのは、8,833件。
*なお、ひとつのドメインに対して複数のpopサーバ、smtpサーバが指定されている場合は、その複数を調査対象とした。そのため、調査対象となった pop、smtpサーバの数は、ドメイン数よりも多い。
*不正中継データベースは、ORDBへの登録状況で確認した。
http://www.ordb.org/
この規模でOS、web、pop、smtpサーバの実態をデータベース化しているのは世界的にも類を見ないものといわれている。co.jpドメインデータベースの他に行政府・自治体のデータベースも保有している。
SCAN編集部では、新しいセキュリティホール、ワームなどの発生の都度、これらのデータベースをもとに、警告を発している。
Slapper ワーム 行政府、自治体でターゲットになるのは 38 IPアドレス (2002.9.16)
https://www.netsecurity.ne.jp/article/1/6658.html
Scalperワーム 企業WEBの10%、自治体WEBの13% =1万件以上に影響の可能性 (2002.6.30)
https://www.netsecurity.ne.jp/article/1/5742.html
Scalper ワームに感染する可能性の自治体ドメインリストを総務省に提供 (2002.7.12)
https://www.netsecurity.ne.jp/article/1/5932.html
>> 国内企業co.jpドメイン 8,833件(4.53%)が不正中継データベースに登録
調査結果では、約20万件の co.jp ドメインのうち、8,833件が不正中継可能な状態として、不正中継データベースに登録されていた。
スパムメールなどを送る際に、第三者のメールサーバを利用することを不正中継とよぶ。主にスパムメール業者が利用する他、正体を知られたくない犯罪行為などに利用されることもある。
通常のサーバは、不正中継に利用されないような設定を行っているが、中には、きちんと設定されていないサーバもあり、不正中継が可能なサーバは、スパム業者の温床になってしまう。こうしたサーバからは、さまざまなスパムメールが届くため、不正中継を許しているサーバからのメールを受け取らないようにしている企業も少なくない。
不正中継を許しているサーバの情報は、いくつかの不正中継データベースが提供を行っており、これらのデータベースに登録されているサーバからのメールを受け取らないようにしている企業も増えている。
言葉をかえるとこうした不正中継データベースに登録されてしまうということは、サーバの管理がきちんと行われていないことを国際的に露呈してしまっていることであり、海外とのメールのやりとりの際に、不正中継データベース登録済みのサーバからのメールとして相手に届かないで送り返されてしまうことも起こる。
また、スパム業者がこれらのサーバを悪用している可能性も高く、その場合、不正中継を許しているサーバは、間接的にスパム被害を与えていることになる。
>> 大手レンタルサーバ事業者のメールサーバが登録 利用者にとばっちり
今回の調査結果で深刻なのは、ドメインを持っている企業自身(ドメイン保有者)に責任がないのに、借りたレンタルサーバの業者の管理状態が悪く、そのために、自分のドメインのメールサーバが登録されているケースが多いことである。
事業者別(IP保有者別)に不正中継データベース登録状況を集計すると、上位10位のレンタルサーバ事業者だけで、実に7,696件、co.jpドメインで今回不正中継データベースに登録されていることが明らかになった総数の87%を占める。
管理体制がないから、アウトソーシングを行なっているはずなのに、アウトソースした先の管理体制も不十分という結果になっているというレンタルサーバ事業そのものの信頼性をおびやかす事態となっている。
>> 不正中継DB登録件数トップのレンタルサーバ事業者1社で、4,012件
さらに深刻な問題と考えられるのは、不正中継データベースへの登録件数がトップのレンタルサーバ事業者である。
事業者は、大手ISP事業者、通信事業者でもあるが、この業者がサーバをレンタルしている4,012件ものドメインが不正中継データベースに登録されている。
この事業者自身が管理している co.jp ドメインは、4,288件なので、管理しているドメインの94%が不正中継データベースに登録されていることになる。しかも、そのほとんどが特定のIPアドレスに格納されていることから問題は特定のサーバの管理状態にあると推定できる。
>> 利用者も評価する目が不可欠 大手の事業者でも信用できない
社内に体制がないからアウトソースでレンタルサーバを利用することは、合理的な判断である。しかし、安全、安心な運用を心がけるのであれば、委託先の事業者の信頼性について、事前に、情報収集を行い、自分自身でチェックを行なう必要がある。なにも難しいことではないので、一度、行なってみることをお勧めする。
スパム対策、不正中継のチェックと防御方法に関するレポートを発表 (2002.7.18)
https://www.netsecurity.ne.jp/article/1/6016.html
自分の利用しているサーバの状況を確認する方法 不正中継確認(2002.8.5)
https://www.netsecurity.ne.jp/article/1/6212.html
今回の co.jp 調査では、大手レンタルサーバ事業者の管理水準の低さが露呈した。
以前に行なった自治体ドメインの調査においても大手レンタルサーバ事業者(ISP)が管理しているメールサーバが不正中継データベースに登録されていることが発見されている。
国内 81 の自治体、行政府が国際的な不正中継データベースに登録済
(2002.4.9)
https://www.netsecurity.ne.jp/article/1/4709.html
最近では、スパムメールを取り締まるはずの団体のメールサーバに不正中継可能な問題が発見されているが、このメールサーバ管理も大手レンタルサーバ事業者(ISP)が行なっていた。
スパム取締の経済産業省指定団体、総務省指定団体がスパム等不正中継可能 (2002.8.6)
https://www.netsecurity.ne.jp/article/1/6231.html
財団法人日本産業協会のメールサーバ不正中継問題(2002.8.6)
https://www.netsecurity.ne.jp/article/1/6230.html
財団法人データ通信協会のメールサーバ不正中継問題(2002.8.6)
https://www.netsecurity.ne.jp/article/1/6229.html
たとえ大手事業者であっても信頼できない。最後に頼りになるのは担当者自身の評価眼ということを端的に示す調査結果となった。
なお、この調査結果、約20万件のデータベースは、有償配布を行なう予定である。データベース(ACCESS形式)には、ドメイン、IPアドレス、ドメイン保有者、IP保有者、OSバージョン、WEBサーババージョン、POPサーババージョン、SMTPサーババージョン、ORDB登録状況などが含まれている。すでに予約受付を行なっているので、ご関心のある方は scan@vagabond.co.jp まで。
SCAN編集部
http://vagabond.co.jp/c2/
「co.jpドメイン サーバー実態データベース 2002年下半期」
http://shop.vagabond.co.jp/p-cod01.shtml
《ScanNetSecurity》