掲示板あらし事件

 ashのユーザの掲示板に対して、掲示板あらしがやってきました。

10月6日 掲示板あらし、襲来!

被害状況

 深夜1時頃、ashのユーザの掲示板に対して、掲示板あらしに襲来されてしまいました。
 そのため、深夜にも関わらず、呼び付けられ、解析と対応をすることになってしまいました。
 とりあえず、書き込み内容と、アクセスログを採取し、掲示板のデータを削除しました。
 また、貼りつけられた画像データは、「アジアン・ティーン・ファック」という、米国のサイトへのリンクだったため、証拠としてダウンロードしておきました。

 以下のURLにて、その手口を解析し、そのまま再現できるようにしてあります。
 わいせつ画像が表示されたり、ブラウザの動作がおかしくなることがあります。
  • 掲示板あらしの手口(その1)
     一般に無修正と呼ばれているわいせつ画像を掲示板にリンクされました。しかも、女性の運営している掲示板を中心にリンクしていました。
     掲示板にその手の画像を張られると、この掲示板を見た人が嫌な思いをします。また、画像が大きく重いため、ページの表示が遅くなってしまいます。
     こういう行為は、絶対に許せませんね。

  • 掲示板あらしの手口(その2)
     styleにより、巨大なXという文字を書き込まれました。
     スクロールすると、画面いっぱいに、文字の一部が見えます。
     インターネットエクスプローラ4.0では、フリーズすることもあります。

    • style="position:absolute; top:0; left:0;" の指定の解説
       これは、画面の左上から、絶対位置指定で文字を書く指定です。
       この指定により、文字を重ねて表示することができます。
       掲示板の文字に重ねて表示することで、文字が見にくくなってしまいます。

    • style="font-size:99999px;" の指定の解説
       これは、指定したピクセルの大きさで文字を書く指定です。
       99999ピクセルの文字を指定しているため、巨大すぎて、まともに表示できず、表示させようとするとブラウザの処理が極端に重くなり、ハングアップ同然になってしまいます。

  • 掲示板あらしの手口(その3)
     ネストの深い<TABLE>タグを書き込まれ、ブラウザがフリーズさせられました。
     NetscapeNavigator4.0で、確認しました。
     NetscapeNavigatorでは、<TABLE>タグのネスト時のスタックチェックをしていないためだと思います。これは、NetscapeNavigatorのバグと思われます。

10月7日 対策と調査

対策

 とりあえず、暫定処置として、<TABLE>タグを無効にしました。
 この他、STYLEという文字列を無効するとか、掲示板のURLを変更するなどの対処も検討中です。
 また、タグを無効にするだけではなく、不正なタグを使用した書き込み自体を無効にするなどの対策も検討中です。

調査

 また、アクセスログの調査を始めました。
 アクセスログを参照できます。
 このログによると、掲示板あらしは、「NTTドコモ九州」という会社からやってきた事が判明しました。
 念のため、JPNIC whois データベースを利用して確認しました。
 「NTTドコモ九州」の社員が掲示板あらしの犯人なのか、第三者の踏み台にされたのかは、当サイトはらわからないので、「NTTドコモ九州」に対して、メールをすることにしました。
 ASHが、かつて、米国国防総省(ペンタゴン)から受けた行為と、今回は、立場が逆になります。とりあえず、ASHでは、この作戦を「ペンタ君大作戦」と呼ぶことにします。米国国防総省にならって、ネットワーク管理者と、ネットワーク管理団体と、サイバーポリスと称して動き出した、警察庁に対して、通報することにしました。

10月8日 セキュリティ・コンサルティング

調査結果

 余計なお世話とは知りつつ、「NTTドコモ九州」のセキュリティについてチェックしてみました。
  unix> finger gaiwww.docomokyusyu.co.jp
  finger: gaiwww.docomokyusyu.co.jp: no such user.

  unix> telnet gaiwww.docomokyusyu.co.jp
  Trying 203.138.230.3...
  telnet: Unable to connect to remote host: Connection refused
 fingerや、telnetなどのサービスなどは、使えないみたいですが、これは、NTサーバの反応みたいですね。

 次に、プロキシサーバの状態を見るために、ブラウザのプロキシサーバとして、gaiwww.docomokyusyu.co.jp を指定してみました。
 すると、何と、「NTTドコモ九州」のアドレスでアクセスできてしまいました。外部からのプロキシはしない設定にするのが一般的ではないでしょうか?当然、ASHでは、内部からのアクセスしかできない設定になっています。
 とりあえず、ASHのホームページにアクセスし、環境変数を表示してみました。
  REMOTE_ADDR = 203.138.230.3
  REMOTE_HOST = gaiwww.docomokyusyu.co.jp
  HTTP_FORWARDED = by http://gaiwww.docomokyusyu.co.jp:8080 (Netscape-Proxy/1.12)
 ASHからアクセスしたにもかかわらず、REMOTE_HOST は、gaiwww.docomokyusyu.co.jp とすることができます。この状態で、掲示板に書きこむと、「NTTドコモ九州」の人がアクセスしたのと区別できません。
 しかも、アクセス元のアドレスは通知されない設定になっています。これでは、不正アクセスの踏み台にされてしまう可能性があります。もし、公開プロキシとして使われるのであれば、アクセス元のアドレスは通知するべきだと思います。ASHでは、HTTP_FORWARDED で、アクセス元のアドレスがわかる指定になっています。
 参考までに、ASHのプロキシを利用した時の環境変数です。
  REMOTE_ADDR = 210.154.87.18
  REMOTE_HOST = name.ash.or.jp
  HTTP_FORWARDED = by http://10.0.1.254:8080/ (DeleGate/5.6.7) for pc20.lo.ash.or.jp
 pc20.lo.ash.or.jp と実際にアクセスしたホストが表示されるようになっています。

10月9日 考察

考察内容

 この掲示板あらしは、何という罪になるのでしょうか?
 多分、その1の例は、猥褻物陳列になるのではないでしょうか。
 その2と。その3の例は、掲示板としての機能が停止したのですから、業務妨害か何かでしょうか。

 また、書き込まれたユーザが削除しなかったら、罪になるのでしょうか?
 もし、書き込まれたユーザが旅行中などで、対応できない場合は、どうすればいいのでしょうか?
 これは、基本的に、罪にならないと思いますが、これを認めると、気づかなかったと言って、公開する人が出てきますから、放置期間によると思います。だいたい、1週間から10日程度が限度ではないでしょうか。

 この掲示板あらしの擁する、プロバイダや会社は罪に問われるのでしょうか?
 ログの提出の拒否などをすると、どうなるのでしょうか?
 プロバイダや、会社が罪に問われることはないと思いますが、ある程度の責任をとる必要が発生するのではないでしょうか。
 gaiwww.docomokyusyu.co.jp のように、アクセス元を隠してしまうプロキシサーバには問題があると思います。

 ASHが証拠として、わいせつ画像を持っていると罪になるのでしょうか?
 ASHが証拠品である、わいせつ画像にモザイク加工すると、証拠の改ざんになるのでしょうか?
 そのまま公開しなければ、問題ないのではないでしょうか。

 私の深夜作業や、ログ解析などの対応のために消費された工数は、誰が負担するのでしょうか?
 少なくとも、私はボランティアで、やっているわけではありません。
 犯人への処罰等は、警察にまかせたいところですが、果たして警察が動くのでしょうか?

 とにかく、サーバ管理者としては、
  1.不特定多数のインターネットのユーザに対して、プロキシサーバを利用できないようにする。
  2.中継する場合は、アクセス元のデータを付加して中継するようにする。
  3.サーバのアクセスログを保存しておく。
 などの、対応が必要でしょう。

10月11日 関係各署への通報

内容

 以下に、関係各署への通報のメールの内容を参照できます。

 通報先は、以下のとおりです。

情報処理振興事業協会(IPA) http://www.ipa.go.jp/SECURITY/index-j.html
コンピュータ緊急対応センター(JPCERT/CC) http://www.jpcert.or.jp/
警察庁 http://www.npa.go.jp/police_j.htm

11月5日 NTTDoCoMo九州からの回答

内容

 NTTDoCoMo九州から、メールで回答が来ました。
 内容については、以下の2点についての報告でした。
  1.「掲示板荒らし」が行われた時間のgaiwww.docomokyusyu.co.jpのログについて
  2.gaiwww.docomokyusyu.co.jpのProxyサーバの対応について

ログについて

 ログについては、ASHへのアクセスに対応する生ログが添付されていました。時間が多少ずれていますが、これは、サーバの時間が一致していないためだと思われます。
 このログのIPアドレスから、以下のサイトからのアクセスであることがわかりました。

  Name: ppp3003.ifnet.or.jp
  Address: 210.141.245.70

 このアドレスは、名前から判断すると、ダイアルアップ用のアドレスであると思われるので、多段中継はしていなかったみたいです。アクセス元のプロバイダは、イフネットと思われます。

サーバの対応について

 サーバの対応については、連絡した当日にgaiwww.docomokyusyu.co.jpの設定を変更し、インターネット上からのProxyサーバへのアクセスはできないようにしたとの報告がありました。
 また、セキュリティーの見直し及び対策を実施し、今後、このようなことのないように対処したとの報告もありました。

11月7日 犯人逮捕?

内容

 ダイアルアップしたユーザまで、特定できたのですが、私には、処罰する権限も何もありません。そこで、実際の被害者に対して、警察に被害届を提出するかどうかを確認することにしました。
 被害者には被害届を提出する意思はないとの回答でしたので、私の調査も、このあたりで、打ち切りにすることにしました。

 ところが、以下のような内容のニュースを発見!
 掲示板にわいせつ画像を貼りつけた男を逮捕 (11月5日)
 大阪府警と天王寺署は11月5日、女性が開設しているホームページの掲示板にわいせつな画像を貼りつけたとして、わいせつ画像陳列容疑で11月4日に逮捕したという発表があった。
 容疑者は、京都市右京区西院坤町の会社員、小倉聡容疑者(23)。
 調べによると、小倉容疑者は10月5日の深夜、大阪市天王寺区に住む女性(28)が開設しているホームページの掲示板にわいせつ画像を貼りつけた疑い。小倉容疑者は女性の掲示板から、米国のアダルトサイトである「アジアン・ティーン・ファック」に掲載されているわいせつ画像にリンクし、掲示板にアクセスしてきた一般ユーザに対して、わいせつ画像を見せた。

 この内容って、ASHに来た「掲示板あらし」の内容と非常に似ています。
 と言っても、以下の4つの状況証拠からの推測ですけど・・・

 (1) このニュースの発生日と、掲示板あらしが来た日が、一致している。
 (2) NTTDoCoMo九州からの報告日と逮捕日が、一致している。
 (3) 貼りつけられた画像が、「アジアン・ティーン・ファック」である。
 (4) 掲示板あらしは毎月始めに来ていたが、11月始めに来なかった。(来れなかった?)

 この事件と、ASHへ毎月来ていた「掲示板あらし」との関係は、全く不明です。
 しかし、この事件以来、ASHに「掲示板あらし」が来なくなったというのは、事実です。

連絡は joe@ash.or.jp までお願いします。