馬鹿かと思ったら露出狂だった

まぁ、一言で言ってしまうと、先日のゴタゴタの張本人の正体は、そういうことになる。

事の経緯は上記リンク先の方を読み返していただくことにして、ここにはその後のことを書こうと思う。あの日、SPAM による DoS attack を受けたことに気付いた僕は、証拠保全をした後、とりあえず朝日ネットの代表番号に電話して、そこから技術担当の番号を聞き出し、再び電話をかけた。出たのは女性で、事情を説明したところ、今日(その日は土曜日だった)は担当者が出社していないので、月曜日以降に担当者から折り返し連絡します、と言う。

「うーん。しかしですね、今日や明日に再び attack があったらどうすりゃいいんですかね?」

と聞いても、女性は困ったような事を呟くだけだったので、まぁこの女性には対処できない(おそらくユーザからの簡単なクレーム対策の教育しか受けていないのだろう、と推測した)と判断し、月曜に確実に連絡してもらうよう(向こうさんは最初はそれも渋ったのだけど)念を押し、電話を切った。

で、月曜日、先方の技術担当という男性(おそらく正社員なのだと思うけど)が電話をかけてきたので、事の顛末を口頭で説明すると、

「送られたメールのヘッダ情報を送っていただきたいんですが」
「ヘッダ情報『だけ』ですか?それだけ抜き出すのも面倒なんですがねぇ」
「あー、最低限、それが必要だ、ということなんです」
「えーと、僕の MUA は Mew なんです。ですから1メール1ファイルの形式で保存されるんですが、今回のその SPAM 全ての tarball を送るということでいいですかね?」
「え?いや、容量的にですね……」
「それがですね。tar.bz2 にして数百 KB ってとこなんですよ。virus や巨大なファイル等が添付されていたりしませんでしたから」
「そうなんですか。ではそれをお送り戴けますか?」
「分かりました」

……で、メールで tarball を送ったら、何時間かしてまた電話がかかってきた。

「えー、メール、どうも有り難うございました」
「いえいえ。要点は text の部分に書いておきましたがね……一応もう一度説明します」
「はい」
「えーと、まずどのメールを見ていただいてもいいんですが、頭、つまりうちのレンタルサーバがメールを受信したときの記録を見ていただくと、そちらのアクセスポイントから受け取ったことが分かりますね?」
「はい」
「で、その次の行ですが、これは、該当ユーザの local に MTA があって、メールの発信はその MTA に SPAM の元になるテキストを食わせて行っている、ということが分かりますね?」
「はい」
「で、この MTA ですが、Exim version 4 なる代物です。これは、Debian GNU/Linux を install するときに default で入る MTA なんですよ」
「はい」
「で、該当ユーザが私の blog に書き込んだときの access_log を grep したものを先のメールに貼りつけておきましたが、それで相手の agent を見ると、Debian GNU/Linux を使っていることが分かりますね。で、アクセス元は SPAM と全く同じアクセスサイトなんですね」
「はい」
「で……先に伺ったんですが、そちらの DHCP サービスでは IP address の動的割り当てに期限を付けていないようですね。つまり、ユーザが再接続をしない限りは同一の IP address を占有できる、ということですね?」
「はい」
「ですから、このユーザはこのアクセスポイントに対して Linux 端末を常時接続状態にして IP address を占有して、自分の static なサーバとして使っていた。そしてそのサーバから私の blog に茶々を入れ、あしらわれたのに逆上して、自分の Linux 端末上で…… shell script 程度で簡単にできることですが……自分の端末の MTA に手元の SPAM か何かを食わせて、私のメールアドレス宛に大量送信してきた。まぁ、こんなところでしょうねぇ」
「はい」

……「はい」しか言えないのかなぁ、と思いつつも、こんな話をして、

「まぁ、こういう状況なわけですが」
「そのような感じだと思います……で、あのですね、このユーザなんですが……実は以前にも同じような行為でクレームを戴いていまして」
「え?……しかし、今回と同じだったら、同様に簡単に特定されてしまうと思うんですけど」
「そうなんですよ……しかし実際、前にもあったんです」
「うーん……何なんでしょうねぇ」
「……とりあえずですね、私共の方としましては、利用規約もありますので、このユーザを即刻切る、ということはできないんですよ」
「では、どうして戴けると?」
「『前』のあることですから、今回は私共の方から『勧告する』というかたちで処分させていただきます。そして、再び同じようなことがあれば……」
「切る、と?」
「はい、申し訳ありませんが、そういう手順を踏むことになりますが」
「うーん。しかしですね。fugenji.org としては大したことがなくて済みましたけれど、レンタルサーバ業者から見たらこの行為は威力業務妨害ですよね。そちらにしたって、そういう意味では被害者なわけでしょうに」
「はあ……その件もありまして、一つ伺いたいのですが。そちらのレンタルサーバ業者様は今回の DoS attack に対して……」
「ああ、どうも途中で切ってくれていたようですよ。SMTP port に filter をかけて、black list で弾いてるんだと思いますけど」
「そうですか。それでしたら、恐れ入りますが先程御説明させていただいたような流れで処理させていただくということで……」
「……まあ、止むを得ませんね。まあ朝日ネットさんを責める気は毛頭ないんですが、処理の方だけは、そういうことで、お願いいたします」
「恐れ入ります。よろしくお願いいたします」

……と、こんな感じのやりとりをしたわけだ。それにしても、どうも何か引っかかる。そう言えば……先のメールのヘッダには端末名、それも domain 込みの端末名があったっけ。まさか、あの domain、生きているのかな……まさかね。そう思いつつも、先の端末名 vulture.run.sh を思い出しつつ dig で調べると、ちゃんと先のアクセスポイントの raw IP address に resolve される。おいおい。

で、www.nic.sh(これはセントヘレナ島の domain だが)にお伺いを立ててみた結果が(以下個人情報保護のため記述削除)

2009/10/23(Fri) 19:08:18 | コンピュータ&インターネット
Tittle: Name:

Profile

T.T.Ueda
Tamotsu Thomas UEDA

茨城県水戸市生まれ。

横山大観がかつて学んだ小学校から、旧水戸城址にある中学、高校と進学。この頃から音楽を趣味とするようになる。大学は、学部→修士→博士の各課程に在籍し、某省傘下の研究所に就職、その2ヵ月後に学位を授与される(こういう経緯ですが最終学歴は博士課程「修了」です)。職場の隣の小学校で起こった惨劇は未だに心に深く傷を残している。

その後某自動車関連会社の研究法人で国の研究プロジェクトに参画、プロジェクト終了後は数年の彷徨を経て、某所で教育関連業務に従事。

New Entries

Comment

Categories

Archives(902)

Link

Search

Free

e-mail address:
e-mail address