警察庁は29日、プロキシサービスを悪用したメールの不正中継に関する調査結果を公表した。調査では、公開プロキシサーバー(オープンプロキシ)を悪用して、メールの配信に利用しようとするアクセスが多数観測されたとして、管理者に対してプロキシサービスが第三者に悪用されないよう、適切なアクセス制御を行なうことを呼びかけている。
調査では、実際に3台の公開プロキシサーバー(オープンプロキシ)を国内に設置。TCP 1080番、3128番、8080番の3つのポートを公開し、アクセスは受け付けるが実際には中継を行なわない形で、オープンプロキシに対するアクセス内容を分析した。観測期間は2006年9月からの16カ月間。
オープンプロキシに対する中継試行は、24の国と地域、合計413のIPアドレスから行なわれ、アクセスされた総数は1サーバーにつき2,087件、1日平均4.3件。このうち、TCP 8080番ポートへのアクセスでは、Webへのアクセス要求試行が47.4%、メールの不正中継試行が39.8%。TCP 3128番ポートへのアクセスでは、メールの不正中継試行が46.3%、Webへのアクセス要求試行が40.2%となり、プロキシに対してWebの中継だけでなく、メールの不正中継を目的としたアクセスが多いことが確認できる。
オープンプロキシにアクセスした発信元の国および地域の比率は、米国が42%、台湾が28%、中国が14%、エストニアが6%、ウクライナが4%、韓国が3%など。メールの不正中継試行による中継先は、台湾が39%、米国が12%、中国が12%、ロシアが11%。
さらに、オープンプロキシに対するメールの不正中継要求を調べる目的で、メールの送信を模倣する形で実際には中継しないサーバーを1台設置。2007年11月の1カ月間観測を実施したところ、不正中継を意図したメールを1日平均2,355件受信したという。
オープンプロキシに対する接続状況を分析したところ、メールの件名に「xxx.xxx.xxx.xxx:8080」(「xxx.xxx.xxx.xxx」は観測環境のグローバルIPアドレス)といった内容を含むメールを多数確認したという。このようなメールの中継要求に応答したところ、しばらくして大量の迷惑メールの不正中継試行があり、悪意のあるユーザーはこうした手法でメールの不正中継が可能なオープンプロキシを探索し、リスト化していると考えられると分析している。
また、オープンプロキシからさらに別のオープンリレーサーバーに接続し、メールの不正中継を多段化しようとしていると見られるアクセスも確認されたという。こうしたことから、迷惑メールを送信するにあたって、中継を行なうマシンを複数用いることで、発信元の特定を困難にする複雑なメール送信システムを構築しているユーザーが存在する可能性を否定できないとしている。
警察庁では、プロキシサービスが不要な場合にはサービスを停止する、プロキシサービスを利用する場合には第三者に悪用されないよう適切なアクセス制御を行なうといった、システム環境設定の見直しを対策として挙げ、管理者に対して注意を求めている。また、一部のソフトウェアやネットワーク家電などに、脆弱性によってオープンプロキシとして動作してしまう事例もあり、一般ユーザーに対しても修正プログラムの適用やセキュリティ対策の確認を呼びかけている。
関連情報
■URL
プロキシサービスを悪用したメール等の不正中継行為の情勢について(PDF)
http://www.cyberpolice.go.jp/server/rd_env/pdf/20080229_PROXY.pdf
警察庁セキュリティポータルサイト @police
http://www.cyberpolice.go.jp/
( 三柳英樹 )
2008/02/29 16:22
- ページの先頭へ-
|