3月22日 新たなる侵入者
状況
まだ、詳しく調査していませんが、3月22日のネットワークのレスポンスが急激に低下しました。netstat コマンドを実行したところ、以下の結果が返ってきました。これは、あきらかに、不法侵入と思われます。
srv01> netstat
tcp 0 2 srv01.ash.or.jp:1432 cb02.arl.mil:telnet SYN_SENT root
tcp 0 2 srv01.ash.or.jp:1429 cauchy.arl.mil:telnet SYN_SENT root
tcp 0 2 srv01.ash.or.jp:1427 cauchy.arl.mil:telnet SYN_SENT root
tcp 0 2 srv01.ash.or.jp:1425 140.47.242.36:telnet SYN_SENT root
tcp 0 2 srv01.ash.or.jp:1423 cassy.arl.mil:telnet SYN_SENT root
tcp 0 2 srv01.ash.or.jp:1417 casper.arl.mil:telnet SYN_SENT root
tcp 0 2 srv01.ash.or.jp:1415 casper.arl.mil:telnet SYN_SENT root
tcp 0 2 srv01.ash.or.jp:1413 casino9.arl.mil:telnet SYN_SENT root
tcp 1 0 srv01.ash.or.jp:auth bubba.arl.mil:1336 TIME_WAIT root
tcp 1 0 srv01.ash.or.jp:auth cbu418.navy.mil:1898 TIME_WAIT root
tcp 0 7 srv01.ash.or.jp:pop3 d195.pop135-2.isr:1523 FIN_WAIT1 root
tcp 2 0 srv01.ash.or.jp:1378 casino16.arl.mi:telnet TIME_WAIT root
tcp 2 0 srv01.ash.or.jp:1370 casino.arl.mil:telnet TIME_WAIT root
tcp 2 0 srv01.ash.or.jp:1330 casino.arl.mil:telnet TIME_WAIT root
tcp 1 0 srv01.ash.or.jp:1310 cardassian.arl.:telnet TIME_WAIT root
tcp 1 0 srv01.ash.or.jp:1308 cardassian.arl.:telnet TIME_WAIT root
tcp 0 0 srv01.ash.or.jp:telnet 192.114.85.56:2349 ESTABLISHED root
tcp 0 119 srv01.ash.or.jp:telnet pc27.ash.or.jp:2024 ESTABLISHED root
最近、不法侵入がなくなったので、いろいろと実験をするために、telnet の
ポートなどは、空けてありました。
11月の侵入、2月のルータアタックとの関係は、わかっていません。
この情報は、「ハッカー観察日記」を読んだ程度のashの1ユーザが、私に情報提供してくれただけですので、今晩にでも調査してみます。このような情報が1ユーザから得られるようになったのも、「ハッカー観察日記」のおかげです。
とりあえず、「ハッカー観察日記」でお世話になった方々には、メールで連絡をしました。
3月23日 調査開始!
状況
netstat コマンドの解析結果です。
netstat の第6フィールドは、セッションの状態を表します。
pc27.ash.or.jp と 192.114.85.56 が ESTABLISHED となっているため、この2つがセッションが確立されています。
pc27.ash.or.jp は自分自身ですが、192.114.85.56 は、侵入者です。つまり、この時点で、侵入されてしまっています。
192.114.85 は、IPアドレスの割り当てから行くと、イスラエルです。
次に、第2フィールドがローカル側のアドレスとポートで、第3フィールドがリモート側のアドレスとポートです。送信側と受信側の区別はありません。
telnet コマンドの場合は、受信側のポートが 23(telnet) となります。送信側のポート番号は、空いているポートが選択されるみたいです。
つまり、イスラエルから侵入した、ハッカーは、米国の軍事関係のサイトに侵入しようと、次から次へと、telnet を試していたようです。状態が、SYN_SENTであることからしても、アクセスしようとしている状態です。
3月24日 各機関への連絡
アメリカ大使館への連絡
電話担当者: 現在未然の段階なのなら、まずイスラエル大使館に連絡してください。もし、今後なにかありましたら、軍当局(横田)のほうを紹介します。
との対応でした。
イスラエル大使館への連絡
領事: 日本の警察に問い合わせてください。最近はイスラエルの少年がペンタゴンに進入して逮捕されたこともあって、難しい問題です。
とのコメントがありました。
警視庁への連絡
警視庁(広報): (私の説明は)理解しました。ただ、我々は東京都下の事件については行動しますが、まずは所轄の石川県警に連絡してみてください(しかし、石川県警ではわからないとは思いますがね、とのコメントをくれたあとに)もし、それで不十分なようでしたら、警察庁に連絡してください。
との返答がありました。
石川県警への連絡
石川県警(生活安全企画課): 電話ではよくわからないので、改めて事情聴取します。担当に該当する部署がないので、とりあえずうちの課で(この問い合わせを)受けました。(電話を繋がれた)私も、多少コンピュータをかじっているから、受けたんで……
ふだんは風俗取締をやっていて、インターネット犯罪の相談ということで、そんな(風俗に関するような)ことかと思って……
との回答でした。
知人の弁護士への相談
広域にわたる犯罪ということで、該当するどの国の法律でも適用できると思います。ただ、日本国法では、このような事態に対する法整備が遅れていて、威力業務妨害などを適用することにしかならないでしょう。アメリカでは(未確認だが)より現実に即した法整備と判例が存在していると思います。また、犯罪幇助という問い合わせについては、まずだいじょうぶでしょうが、わかっていて、しかし、だまってやりすごしていた、ということに対しては、共犯の意志がなかったことを弁明しなくてはならないかもしれません。
との話でした。
3月25日 米国海軍からの連絡
状況
恐れていたとおり、米国海軍から、メールが届きました。
メールの内容を見ることができます。
メールは、ashの管理者と、APNICに対して、送付されています。ということは、JPNICにも報告した方がいいと思われます。事の重大さを考慮して、事前に大使館などへ連絡しておいてよかったと思いました。
すぐに、以下の回答をしました。最初は、片言の英語で回答を書いていたのですが、途中からは、日本語で書いたまま送付しました。
こういう場合は、下手な英語で誤解されるよりは、日本語で回答した方が確実だと思います。
ところで、米国海軍から、このようなメールを受け取ることは頻繁にあるのでしょうか?何か、情報をお持ちの方がいらっしゃれば、連絡してください。
3月26日 JPCERTからの通信
状況
JPCERT殿より、メールの返事が来ました。
内容は、不正侵入された場合の対応方法について簡単にまとめられていました。また、netstat コマンドの解析結果も添付されていました。内容的には、私の解析結果とほぼ同じ内容でした。
ただ、この解析結果を見ていて思ったのですが、イスラエルからの PPP 接続の後処理中の状態が残っていました。つまり、これが、侵入者の裏口となっている可能性があります。
3月26日 報告書の作成
sysログの調査
sysログの解析をしてみました。
とりあえず、クラッカーが侵入を試みた、米国の軍事関連施設へのアクセスリストを抽出してみました。
unix> grep -i mil /var/log/messages
かなり、多数のサイトに侵入を試みた形跡が見られました。また、侵入を試みられた、米国の軍事関連施設から、ashに対して、finger による問い合わせや、telnet によるアクセスの形跡も見られました。
次に、ash に対するアクセスリストを抽出してみました。
unix> grep -i login /var/log/messages
unix> grep -i telnet /var/log/messages
実に、さまざまな人が侵入しようと試みたようです。ユーザ名は、root やguest が多いですが、なぜか、joe とか、amishito とかがいるのが、変です。
今後、このような不正アクセスが続くようでは、米国海軍の真似をして、侵入しようとしたサイト(プロバイダ)の管理者に対して、ログの提出依頼を出してみる必要があるかもしれません。
報告書の作成
また、今までの侵入状況を以下の団体に報告しました。
それぞれの報告内容を参照することができます。
-
3月28日 一段落
状況
ログを見るだけでは、1秒間に8回も、DNSの検索をしているので、何かのプログラムによるハッキング行為であると思われます。netstat 以外にも、イスラエルのプロバイダでダイアルアップしたユーザが pop3d に接続した形跡があったことからも、犯人はイスラエル人に間違いないでしょう。
また、米国国防総省のペンタゴンに侵入した、イスラエル人のハッカーが捕まったのが、当サイトに不法侵入された2日前ですから、ハッカーの仲間による報復攻撃の踏み台にされてしまった可能性が高いと思います。
4月2日 米国国防総省からのクレーム
状況
こんどは、NTTのOCN管理者代表経由で、米国国防総省からクレームが来ました。
メールの内容を見ることができます。
しかし、このメールには、詳しい情報は、何も掲載されていませんでした。そこで、申告内容を教えて下さいとメールを送ると、米国国防総省からのメールの内容を送付してくれました。
米国国防総省からのメールの内容を見ることができます。
しかし、誰から、誰に対して送付されたメールなのかは、何も掲載されていませんでした。そこで、もう一度、問い合わせると、以下の内容を送付してくれました。
米国国防総省側からの申告mailは
---------------------------------
Sender: XXX@assist.mil
Date: Tue, 31 Mar 1998 17:20:58 -0500
From: Emile Walker
Organization: DISA ASSIST
---------------------------------
からOCN管理者代表宛てに送られてきました。
これで、ようやく、メールの内容を把握することが、できました。
このメールによると、ASSISTと呼ばれる、セキュリティ関係の対応組織があるみたいです。また、クラッカーは、http (port 80)をスキャンしたみたいです。
当サイトには、米国の軍事関係のサイトのDNSの検索ログがあるだけで、残念ながら、侵入者がどのような操作をしたかは、被害にあったサーバのログを調査しないとわからないです。
ただ、netstat の結果では、telnet (port 23)をスキャンしていましたから、いろいろやったということですね。
そこで、以下のメールを回答として送付しました。
米国国防総省へのメールの内容を見ることができます。
|