分析ここ数か月、複数のセキュリティ研究者が、Spamhaus は正当なネットワーク ポート スキャンを実行するユーザーを自動的にブロックしており、迅速な救済手段を提供していないと指摘しています。
ブロックリストとサイバー脅威検知を提供する非営利のSpamhausは、そのようなことは全く起きていないと主張している。「あなたがおっしゃっている主張は、私たちができる限り丁寧な言葉で表現すれば、全くのナンセンスです」と、Spamhausの運用管理者であるLuc Rossini氏はThe Registerへのメールで述べた。「Spamhausは悪意のあるポートスキャン(キーワードは『悪意のある』です)の発信元をリストアップするポリシーを掲げていますが、当社のシステムは、この人物が考えているような方法では機能しません。」
「この人物」とは、サーバーホスティングおよびコンサルティング事業を展開する Ovo.sc を運営する Vincent Canfield 氏を指し、最近、Not Dan というハンドルネームの情報セキュリティ研究者の協力を得て、Spamhaus の疑惑に関する詳細を記した記事を執筆した。
「Spamhausは、トラフィックの送信元を確認することなく、すべてのポートスキャントラフィックをリストアップしています」とキャンフィールド氏は投稿で述べています。「TCPハンドシェイクや双方向UDP通信を必要とするバナースキャンなどを確認する代わりに、Spamhausのハニーポットサーバーは、検出されたすべてのTCP SYNをブラックリストに登録しています。」
あるいは、そうだったのか、あるいは、誰を信じるかによって、決してそうではなかったのかは変わってきます。まずは背景を説明しましょう。
スキャンは簡単ではない
SYNスキャン(ハーフオープンスキャン)は、サーバーからのSYN-ACK応答を待ち、応答を受信しても応答しません。TCP接続は完了しないため、このようなイベントは通常ログに記録されません。これらのポートスキャンは、悪意のある偵察活動である場合もあれば、正当な市場調査やインターネット調査である場合もあります。その違いは必ずしも明らかではありません。しかし、ブロックされている人にとっては、この違いは非常に重要です。
Spamhausにブロックされると、Google検索から除外された場合と同様に、オンライン上で損害が発生する可能性があります。つまり、Spamhausのブロックリストに登録しているサービスプロバイダを通じて、ウェブサイトやインターネットサービスにアクセスできなくなるということです。Canfield氏が投稿で述べたように、「Spamhausにリストされることは死刑宣告に等しい」のです。
「ハッカーが依然として脆弱なデバイスをスキャンできる一方で、セキュリティ研究者やマルウェア対策企業はそれができないのであれば、私たちはパニックになる価値のあることを見つけ出す能力を失っている」とキャンフィールド氏は書いている。
この騒動は、ポートスキャンサービス「Port Radar」を提供するpacket.telが、ポートスキャンに関連するIPアドレスをブロックしたとしてSpamhausを訴えた3月にTwitterで始まった。
当時、White Opsのチーフサイエンティストであるダン・カミンスキー氏がこの議論に加わり、Spamhausが有益な研究スキャンと悪意のある活動を区別できていないと非難しました。例えば、これらのスキャンは、公開インターネット上で脆弱なサービスを実行している可能性のあるデバイスやシステムの数を明らかにするため、研究者と悪意のあるユーザーの両方にとって有益です。
4月初旬にpacket.telがこの主張を繰り返したとき、Spamhausのロッシーニ氏は、スキャンを行っている人々の正当性を疑問視して反論した。「本物の研究者に見せたいのなら、やり方は簡単です。(i)ネット全体のポートスキャンに誠実な社会的目的と目標を持つこと(『できるから』や『合法だから』ではだめです)。(ii)スクリプトキディのように見えるのはやめましょう。」
この時点で、Mozillaのソフトウェアエンジニアであるデニス・シューバート氏は、ロッシーニ氏に反撃し、対応をもっと慎重に考えるよう促した。「スパム対策に真剣に取り組んでいる企業だと見せたいなら、簡単なことです。(i) スパムを送信していないのにポートキャンをしているという理由でIPアドレスをブロックリストに登録しないこと。(ii) まるでクッキーを盗まれたかのように振る舞うのはやめること。」
ロッシーニ氏は、シューベルト氏のような「真のセキュリティ専門家」とpacket.telのセキュリティ専門家を区別しようとした。「セキュリティコミュニティにはポートスキャンの問題はありません」と彼は答えた。「Spamhausは、24時間365日ネットをスキャンしているセキュリティ研究者と常に協力しています。」
しかし、シューバート氏は、packet.telが正当なセキュリティ研究団体の資格を満たしていないという主張の妥当性に疑問を呈した後、自身のネットワーク(Mozillaとは関係ありません)のいくつかが、認可されたネットワークスキャン活動の結果、Spamhausのブラックリストに登録されていると主張して反論しました。「それらのIPアドレスの一部はブロック解除できましたが、他のIPアドレスはブロック解除されず、貴社は私の連絡をすべて無視しました」と彼は言いました。
ロッシーニ氏は、Spamhaus のブロックリストに登録された顧客のポートをスキャンする権利は、その顧客のプライベート ネットワークの境界で終了すると指摘して答えた。
「要するに、ネットのポートスキャンは好きなだけやっていいが、Spamhausのブロックリストに登録されている顧客のプライベートネットワーク内をスキャンしたい場合は、身元と研究目的をきちんと確認する必要がある」と彼は述べた。「あなたが本物の研究者であることを確認できれば、私たちのシステムはあなたをブロックしないよう保証できる」
事態をさらに複雑にしているのは、スキャンされることに不満を持つ人は誰でも、虚偽の苦情を提出することで、Spamhaus にソース IP アドレスをブロックさせることができる可能性があると言われていることです。
だから私たちは素敵なものを手にすることができないのです
キャンフィールド氏によると、問題はSpamhausが正当なスキャンをブロックするだけでなく、そのシステムが容易に悪用されることだ。彼は、この無差別な動作を実証し、以下のコマンドを使って任意のIPアドレスを偽装し、ブラックリストに登録できると主張している。
masscan --src-ip <被害者のIP> -p 23 0.0.0.0/0 --rate=80000
つまり、インターネット全体のスキャンの送信元IPとして、見知らぬ人のIPアドレスを使用することが可能だったのです。そのスキャンがSpamhausのハニーポットのいずれかに接触した時点で、そのIPアドレスが既にホワイトリストに登録されていない場合は、Spamhausによってブラックリストに登録される、と主張されていました。つまり、誰かをSpamhausのブラックリストに載せたい場合、その人の公開IPアドレスを大量スキャンの送信元アドレスとして使用するだけで、事実上、インターネット上で致命傷を与えることができる、と主張されていました。
ロッシーニ氏は、それはうまくいかないと主張した。「当社のシステムはTCPハンドシェイクを必要とするため、偽装されたIPアドレスがそもそもリストに載ることはありません」と彼は述べ、さらにメッセージでこう付け加えた。「もしそれが真実なら、論理的に、少なくとも何人かのインターネットユーザーが、不正な第三者によってIPアドレスが偽装されたために当社にリストに載ってしまったと苦情を申し立てているはずです。しかし、そのような苦情は当社では認識していません。」
偽装アドレスによるスキャンによって無実の第三者をブロックする方法が存在するか、あるいは存在したかどうかはさておき、The Registerはスキャン活動のためにIPアドレスがブロックされた証拠を確認しています。例えば、Spamhaus Block List(SBL)からCanfield氏に、彼のOvo.scドメインのIPアドレスがSBLに追加されたことを知らせる自動通知が届きました。
SpamCannibalのブラックリストサービスがスクワッターによって復活、すべてのIPアドレスがスパムであると主張
続きを読む
「彼らは、TCP SYN のみが送信されるように私たちのテストサーバーをブラックリストに登録し、私がそのことを全員に伝えた翌日に脆弱性スキャナーのブラックリスト登録を停止しました」と彼はEl Regに説明した。
一方、Not Dan はThe Register にスキャン活動に関する SBL 通知の例を 19 件提供しており、その中には次のものも含まれています。
しかし、今となってはそれら全ては過去のことのようです。約1週間前、Spamhausはポートスキャンの対応方法を変更したようです。Not DanはTwitterのダイレクトメッセージでThe Registerに対し、「4月1日以降、Spamhausのチケットキーワードをサンプリングしたところ、4月7日に『脆弱性スキャン』(ポートスキャン)の件名がリストに載らなくなりました」と語りました。
この明らかな変更について尋ねられたロジーニ氏は、「悪質なポートスキャナーのリスト掲載は引き続き行っています。『悪質』という言葉を改めて強調させてください。インターネット上で毎日見られる数百万もの他の様々な接続と同様に、ポートスキャンは単なる『バックグラウンドノイズ』であり、悪質な活動を示す特定の要素が組み合わさっていない限り、当社のシステムがSBL担当者に確認させるようなフラグを立てることはありません」と述べた。
何が起こったにせよ、これは、強力な組織が影響を受ける人々に対してより敏感になるよう促す方法を示す教訓のように思えます。キャンフィールド氏は、SpamhausがSYNスキャンによるセキュリティ研究者のアクセスをブロックしなくなったことを喜ばしく思います。「文字通り彼らにポリシー変更を強いておきながら、それについて嘘をついたというのは、実に面白い話です」と彼は言いました。®
