[connect24h:0249] Re:ZAQインターネットユーザからの攻撃？

[HIRAMOTO Kouji <hiramoto@xxxxxxxxxxx>]

平本です。


In subject: [connect24h:0248] ZAQインターネットユーザからの攻撃？
	kawasima@xxxxxxxxxxxxxx ("Hirokazu Dota Kawashima") said:

> このようなネットネットワークアクセスは、通常のインターネットでの
> アクセスでもありえるということで、ユーザへの問い合わせも行わないと
> いう話でした。

  うちでの例ですが、ある国内のダイヤルアップユーザとおぼしき逆引き 
FQDN を持つ所から port 137 あたりを何度かつついた形跡がありました。
で、その時は多分暇だったんでしょうけど(笑)、うちの Webサーバのアク
セスログを突き合わせてみると、ごく普通にうちのコンテンツを辿ってい
るのと同じタイミングで port 137 がつつかれていました。

  User Agent には Windows の文字列があったと思いますが、とにかくそ
の時に思ったのは「Windows って、こういう辺りは、よっぽど腐った実装
なんだね」ってことでした。おそらくホスト名あたりの確認のために、
SMB (NetBIOS) のパケットが漏れてるんだと推測しています。

  ポートフィルタリングはちゃんと設定してるつもりなので、よほど悪質
なものでない限りは無視することにしています。もちろんログはちゃんと
残していますが。

＃昔も今も多いのが port 111 つつきなんですけど、大半が外国だし。


> ただ、個人的な見解ですが、当該ユーザに対し問い合わせぐらいは行って
> くれてもいいじゃないの？とは思いますが。

  個人的な経験としては、次のようなものがあります。

・某プロバイダA社のユーザの IPアドレスからポートスキャンを受けたの
  で、調べてくれってサポートにいったら、証拠のログ送ってくれってい
  われたので、細大漏らさず送ったけど、その後何の音沙汰もなし。(こ
  ちらからは催促などはしてませんが)

・私も利用している某プロバイダN社に「そちらのユーザから SPAM メー
  ルくるんですけど」と連絡したら、「それはうちのユーザじゃなくて、
  他社のメールサーバから送信されたものです。うちは関係ありません」
  という回答。しかしメールヘッダなどの状況証拠を元に散々突っ込んで
  やったら「うちのユーザが POP before SMTP で送ったものです」とやっ
  と認めた。しかしこのN社、SPAM メールの報告を受け付ける割に、実際
  にどのような対処をしているのか、まったく不明。

-- 
 平本 光二 (HIRAMOTO Kouji) / hiramoto @ flatray.com


--[PR]------------------------------------------------------------------
【FreeMLからのお知らせ】
 ユーザー登録すると、MyPageっていうとっても便利なページが使えるように
 なります。
 例えば、MLの過去ログが見られたり、アドレス変更も簡単に行えます。
 　　　　　　　 http://www.freeml.com/reg_member1.php
------------------------------------------------------------------[PR]--