[2] aNGo :パブリックコメント◆SW+9ckp2LaI5fA :2004/09/10 00:07:04 [レ] [引] [あ] [] スレッドのタイトルが適当と思われたため、こちらに貼らせていただきます。 2004/08/28-30のAppTimeずらしに関する報告書 2版 からの転載(一部修正) ずれが顕著だった時間: 2004/08/28 11:50 〜 2004/08/28 20:30 2004/08/30 00:00 〜 2004/08/30 08:00 データ洗い出しに使った方法: 1. 各ノードのAppTimeと実際の時間のズレを計算 2. 補正ノードの補正に従わない・もしくは明らかに時間のおかしいノードを抽出 結果: 原因ノードの可能性が非常に高いもの: Ministry of Education Computer Center 教育部電子計算機中心 センター住所: 12F, No 106, Sec. 2, Heping E. Road, Taipei 台北市和平東路二段106號12樓 IPアドレス範囲: 140.115.0.0-140.115.255.255 ネット名: NCU-EDU-TW 国: 台湾(中国) 時差(対日本): -1時間 2004/08/28{ 平均誤差: 4時間 1分 30秒 最大誤差: 7時間 45分 0秒 @ 12:13:28 (日本時間) 最小誤差: 1時間 40分 5秒 @ 11:43:18 (日本時間) オンライン時間: 11:36 〜 15:50 AppTime送信回数: 50 } 2004/08/30{ 平均誤差: 2時間 11分 3秒 最大誤差: 8時間 20分 47秒 @ 01:57:21 (日本時間) 最小誤差: 1時間 55分 29秒 @ 23:02:39 (日本時間) オンライン時間: 00:05 〜 23:42 AppTime送信回数: 246 } ユニークIPアドレス: 1 [個] 140.115.155.30:6134 @ 2004/08/28, 2004/08/30 140.115.155.30:3791 @ 2004/08/30 Alpha 2.02.06 回線速度100 補足情報: 教育機関。 AppTime送信間隔異常。 過去に侵入もしくは悪用被害有り。 US Bank メール・Webサイトなりすましホストとして利用される http://www.millersmiles.co.uk/identitytheft/033004-us-bank-1.php メール送信元なりますまりホストとして利用される http://www.millersmiles.co.uk/identitytheft/022504-citibank-spoof-email.php 関連ドメインにプロキシ有り。 HTTP> selab.csie.ncu.edu.tw:3128 HTTP> hunter.phy.ncu.edu.tw:80 HTTP> msia.pine.ncu.edu.tw:80 140.115.155.30:3791はアウトバウンド接続の可能性高 c.f. Windowsが自動的に決定するローカルポート範囲 関連アドレス: http://www.edu.tw/EDU_WEB/EDU_MGT/MOECC/EDU0688001/tanet/tanet1.htm 中文 Northern Taiwan Community University 北台灣社區大學 センター住所: 4F, 114, Sec. 1, Chung-Shiao W. Road, Taipei 台北市忠孝西路四段114號4樓 IPアドレス範囲: 211.76.240.0-211.76.255.255 ネット名: NTCU-NET 国: 台湾(中国) 時差(対日本): -1時間 2004/08/28{ 平均誤差: データ無し 最大誤差: 最小誤差: オンライン時間: AppTime送信回数: } 2004/08/30{ 平均誤差: 2時間 21分 19秒 最大誤差: 6時間 11分 9秒 @ 02:36:31 (日本時間) 最小誤差: 1時間 57分 56秒 @ 10:35:12 (日本時間) オンライン時間: 00:00 〜 11:23 AppTime送信回数: 116 } ユニークIPアドレス: 4 [個] 211.76.254.18:6134 @ 2004/08/30 Alpha 2.02.06 回線速度100 211.76.254.48:6134 @ 2004/08/30 211.76.254.48:2815 @ 2004/08/30 Alpha 2.02.06 回線速度100 211.76.254.78:6134 @ 2004/08/30 Alpha 2.02.06 回線速度100 211.76.254.81:6134 @ 2004/08/30 Alpha 2.02.06 回線速度100 補足情報: 教育機関。 AppTime送信間隔異常。 関連ドメインにVPNサーバー有り。 211.76.240.4 vpn-student.ntcu.net 211.76.254.48:2815はアウトバウンド接続の可能性高 関連アドレス: http://www.ntcu.net/ 中文 Telus Corporation センター住所: Ste 200, Fracmaster Tower, 355 - 4th Ave SW IPアドレス範囲: 154.20.0.0-154.20.255.255 ネット名: PSINET-B2-28-SWIP, NET-154-20-0-0-10 国: カナダ 時差(対日本): -12時間 30分 〜 -17時間 2004/08/28{ 平均誤差: 1日と 8時間 41分 36秒 最大誤差: 1日と 13時間 8分 17秒 @ 12:31:16 (日本時間) 最小誤差: 1日と 7時間 40分 54秒 @ 10:47:08 (日本時間) オンライン時間: 09:01 〜 12:41 AppTime送信回数: 21 } 2004/08/30{ 平均誤差: 1日と 2時間 45分 49秒 最大誤差: 1日と 12時間 51分 57秒 @ 02:41:50 (日本時間) 最小誤差: 15時間 59分 13秒 @ 01:48:25 (日本時間) オンライン時間: 01:43 〜 02:43 AppTime送信回数: 14 } ユニークIPアドレス: 1 [個] 154.20.155.141:6893 @ 2004/08/28, 2004/08/30 154.20.155.141:1280 @ 2004/08/30 Alpha 2.02.06 回線速度100 補足情報: 一般向けISP 154.20.155.141:1280はアウトバウンド接続の可能性高 関連アドレス: http://www.telus.com/ 英文 原因ノードの可能性が有るもの: HK Cable TV Ltd センター住所: 未調査 IPアドレス範囲: 203.168.160.0-203.168.255.255 ネット名: HKCABLE-HK 国: 中国 時差(対日本): -1時間 2004/08/28{ 平均誤差: 5時間 47分 24秒 最大誤差: 1日と 5時間 38分 43秒 @ 18:09:18 (日本時間) 最小誤差: 1時間 40分 38秒 @ 11:42:01 (日本時間) オンライン時間: 10:39 〜 23:55 AppTime送信回数: 132 } 2004/08/30{ 平均誤差: 2時間 34分 14秒 最大誤差: 3時間 33分 28秒 @ 00:32:52 (日本時間) 最小誤差: 1時間 57分 34秒 @ 01:36:29 (日本時間) オンライン時間: 00:08 〜 12:51 AppTime送信回数: 12 } ユニークIPアドレス: 1 [個] 203.168.173.184:6893 @ 2004/08/28, 2004/08/30 Alpha 2.02.06 回線速度100 補足情報: 一般向けISP CHTD, Chunghwa Telecom Co.,Ltd. センター住所: 未調査 IPアドレス範囲: 220.129.0.0-220.143.255.255 61.228.0.0-61.231.255.255 ネット名: HINET-NET 国: 中国 時差(対日本): -1時間 2004/08/28{ 平均誤差: 1時間 42分 42秒 最大誤差: 1時間 49分 51秒 @ 02:39:55 (日本時間) 最小誤差: 1時間 40分 48秒 @ 04:44:48 (日本時間) オンライン時間: 00:18 〜 04:44 AppTime送信回数: 12 } 2004/08/30{ 平均誤差: データ無し 最大誤差: 最小誤差: オンライン時間: AppTime送信回数: } ユニークIPアドレス: 2 [個] 220.136.34.214:6893 @ 2004/08/28 Alpha 2.02.06 回線速度100 61.228.97.85:6893 @ 2004/08/28 Alpha 2.02.06 回線速度100 補足情報: 一般向けISP 補足1、AppTimeずらしについて: AppTimeをずらすには大量のAppTimeメッセージを送る必要があります。 今回の場合、個々の原因ノードが、AppTimeをほぼ「通常の間隔」で送信していました。 普通、「通常の間隔」であれば、例え誤ったAppTimeでも、短時間に全体のAppTimeを ずらす程のモノにはなりません。 しかし今回は原因ノードの数が多かったため、結果的に誤ったAppTimeを「通常以上の間隔」 で送信することとなりました。 また、ある程度全体のAppTimeがズレることによって、ズレたAppTimeに追随するノードが多くなり、 その相乗効果によって、更にズレが拡大したようです。 補足2、ポート番号について: Alpha2 P2PWebのデフォルトのポート番号は6893です。 このためポート番号が6893であればノード毎の相関に若干の疑いが生じますが、 台湾のノードに関しては全て6134であり、これはバウンス先のノードが6134のノードに集中していたか、 同じ設定のAlpha2を複数PCにコピーし実行していた、または接続の度にIPアドレスが変わる 何らかの方法(PPPやVPNなど)を利用していた可能性が高いと思われます。 補足3、原因ノードについて: 原因ノードは台湾のものが主でした。 また教育機関のものであることから、デコイの可能性が高いと思われます。 犯人特定にはこれらの機関の協力が必要です。 現在IPAを通し、台湾政府及びカナダTelusからのログの提供を待っている状態です。 犯人がAppTimeを送信するために考えられる方法は: 1. 犯人が侵入してSocksプロキシを設置。 Socks経由で接続したノードに対して誤ったAppTimeを送信。 2. 犯人が侵入してバウンサ設置。 犯人がバウンサから犯人ノードに転送されるように設定。 バウンサに接続するよう、ノード情報を流すか、初期ノードに登録。 バウンサ経由で接続してきたノードに対して誤ったAppTimeを送信。 3. 犯人が侵入してAlpha2を設置。 4. 犯人が既にあったSocksプロキシを利用した 5. 犯人が既にあったVPN系を利用した などなど 殆どがマシン及び資源の不正使用にあたり、また各国の法律の違いなどから、 国際犯として扱われる予定です。後々これについては日本の法廷で裁けるよう調整する見込みです。 ※当初時差の可能性を疑いましたが、ログの記録とAppTimeのズレの関係、頂いた助言等から、 時差ではなく意図的なずらしと判断しました。 調査について: 2版に使用したログデータは2ノード集計分です。 対策: 一般利用者: - 該当アドレス範囲との通信を拒否する。 ただしこれから原因ノードが増えることも考えられます。 →しかしそれは犯人自身の身元を特定しやすくなることであり、犯人にとっても不利なことです。 利用者の方々には我慢強い対応をお願いしたいと思います。 補正側: - AppTime補正ノードによる補正を続行。 - ログの記録と分析を継続し、各機関と協力の上証拠が固まり次第法的措置をとる。 - 該当アドレス範囲との通信を拒否。ただし監視用ノードは別とする。 追記(2004/09/09): 現在AppTimeのずらし行為以外に、連続的なスレッド作成、及び連続的なスレッドへの投稿に対して、 JAIPAの協力を受け、大量の偽装ノードによるAlpha2全体のメッセージ転送の監視をしています。 AppTimeに関するログの提出を受けた後、スレッドに関する事案についても別途協力を要請する次第です。 本意としては、もっと早くにログの提出を受けたかったのですが、国際的な協力を得るには時間がかかります。 健全な利用者の方々には誠にご迷惑をおかけしますが、ご理解のうえ、ご協力の程よろしくお願いいたします。