CVE-2012-どさにっき 〜2012年4月上旬〜

2012年4月5日(木)

■ 無題

_ 少し前のコネクトフリーとセブンスポットの件。どっちも通信の秘密の侵害ということで 総務省から指導を受けたそうな。

_ コネクトフリーの方。

同社から受けた説明によれば、同社は無線LANサービス提供に伴い、犯罪等に利用された場合における当該利用者の特定に資する等の目的のために、利用者に無断でその端末のMACアドレスや、特定のSNSサービスのサイトに接続する通信に係る情報を記録・保存する等していた事実が判明しました。

うーん。SNS へのアクセスまで記録するのは明らかにやり過ぎだけど、MAC アドレスの取得ぐらいは正当業務の範囲だと思うんだけどなぁ。そのへんのログを出さないように DHCP サーバにパッチ当てて運用しろってことなのかしら。なんかトラブルあっても調査のしようがないじゃん。必要な情報であっても無断で取得するべきでないみたいな前例を作ってしまったのはよくない。

_ NTT-BP(明記されてないけどセブンスポットの運用元)の方。

同社から受けた説明によれば、同社は、大手コンビニエンスストア等における公衆無線LANサービスの提供に伴い、利用者による特定のサイトに接続する通信を、正当な理由なく、利用者に無断で遮断して、当該特定のサイトを閲覧できないようにしていた事実が判明しました

こっちは弁護の余地なし。 impress の記事。

NTT-BPによると、アダルトサイトなどのフィルタリングについては、青少年保護の観点からアクセスを制限することがあるというメッセージを、2011年12月終わりごろからログイン画面に表示するように変更。同時に、ECサイトなど特定サイトへの接続を遮断する措置は行わないようにしたという。

ちうことで、今は競合他社へのブロックはやめました、エロサイトは承諾つきでブロックします、ということになってるようだ。 CNET の記事では

「総務省の指導の中で『利用者に無断』とあるが、我々としては利用規約などで書き出していたつもりだった。それが甘くて（総務省に）『無断』と認識された。そこは徹底してやっていく」

ということらしく、当初から 利用規約に書いてあるつもりだったってことらしい。今見える文面が「徹底」する前なのか後なのか判然としないんだけど、どっちにしても一部サイト止めるよー、なんて内容には読み取れん。2月29日付改正となってるので「徹底」後なんじゃないかと思うんだけど、ほんとに徹底したのかしらん。

第11条（禁止事項）
7SPOT会員は、本サービスを利用するに際して、以下に掲げる行為をしてはならないものとします。
(略)
法令または公序良俗に反する行為

エロサイトをブロックする根拠としてはこれがいちばん近いような気がするんだけど、でも主語が違うよね。公序良俗に反するのはそのサイトであって、7SPOT 会員じゃない。徹底が足りんと思う。

2012年4月8日(日)

■ ANY 聞かれまくり

_ ちょっとしたテストをしようと思ってうちの DNS サーバへの問い合わせを tcpdump で眺めてたら(うちは BIND じゃなくて NSD なので querylog を取れない…)、なぜか ANY を聞かれまくってるのに気がついた。なんだこれ？

20:42:45.213191 IP 118.212.130.234.27607 > 192.168.0.1.53: 55147+ ANY? maya.st. (25)
20:42:45.277869 IP 118.212.130.234.8199 > 192.168.0.1.53: 1824+ ANY? maya.st. (25)
20:42:45.314549 IP 118.212.130.234.32569 > 192.168.0.1.53: 14719+ ANY? maya.st. (25)
20:42:45.357455 IP 118.212.130.234.43682 > 192.168.0.1.53: 41642+ ANY? maya.st. (25)
20:42:45.380837 IP 118.212.130.234.18760 > 192.168.0.1.53: 18505+ ANY? maya.st. (25)
20:42:45.528208 IP 118.212.130.234.50409 > 192.168.0.1.53: 59844+ ANY? maya.st. (25)
20:42:45.685428 IP 118.212.130.234.45030 > 192.168.0.1.53: 59055+ ANY? maya.st. (25)
20:42:46.066942 IP 118.212.130.234.46287 > 192.168.0.1.53: 53172+ ANY? maya.st. (25)
20:42:46.388791 IP 118.212.130.234.34373 > 192.168.0.1.53: 17798+ ANY? maya.st. (25)
20:42:46.544990 IP 118.212.130.234.14727 > 192.168.0.1.53: 34617+ ANY? maya.st. (25)

こういう ANY の問い合わせがだいたい1分ぐらい継続して、その後30秒ぐらいの休止を挟んで今度は別の IP アドレスからまた1分ぐらい ANY が聞かれる、という繰り返し。ぶっちゃけヒマなサーバなんでこのくらいのクエリはカスみたいなもんだけど、でもキモい。キモいのでこういうクエリは止めたいところなんだけど、問い合わせ元のアドレスがしょっちゅう変わるのでそれもできない。どっかの botnet からの問い合わせなのか、ひとつのクライアントがソースアドレスを詐称してるのかは不明。IP アドレスをいくつか調べてみたところ中国のアドレスばっかり。権威サーバへの問い合わせなのに RD フラグつき。EDNS なし。

_ うちの DNS への問い合わせ全体を可視化するとこんな感じ。

ANY が突出してる。明らかにおかしい。ずーっと継続してるわけでなく、深夜〜午前中は問い合わせがほとんど止まるという規則正しさもよくわからん。さかのぼって調べてみると、去年の11月末からずっと続いていた。この謎の ANY query が始まる前はこんな感じ。

ヒマすぎて泣けてくるね:-)。ちなみにグラフ作成は こいつを使用。セットアップしてからずーっとほったらかしにしてたけどめずらしく役に立った。

_ ANY の不正利用ということだと DNS amplification attack が疑われるところなんだけど、うちのゾーンは ANY でもたかだか200バイトちょっとぐらいしかないので DNS amp の踏み台にするには攻撃力が弱すぎる。攻撃の踏み台にするなら1秒あたり5回とかじゃなくてもっとたくさんクエリを投げてくるはずだろうし、ソースアドレスを頻繁に変えてくるのもおかしい。何をしたいのかさっぱりわからん。