サイバーセキュリティを高めながら心の病気を治し中のブログ

私が発見したサイバーセキュリティに関する情報を報告するブログで、心の病気を治そうとしている情報を公開するブログです

スパマーの進撃ルートを調べる

104.26.11.70

Cloudflareのサーバーアプリケーションが稼働するmitm攻撃が確認されたウェブサイトのサーバーIPアドレス

 

 

103.246.232.134

Urbannet-Kanda Bldg 4F, 3-6-2 Uchi-Kanda

 

 

ここからキャリアの通信ネットワーク

 

 

ここまで

 

 

私の通信端末

 

中間者攻撃が確認できたサイトは私がアクセスしたウェブサイトであった。

 

わかっていない人はこの記事のこのくだりで理解すると良いのだが、中間者攻撃されたら、ルート上にはないところに中間者攻撃をする端末がある筈だ、と短絡的に結論を出さずに良い場合があるので、ぜんぶ調べて中間者攻撃サーバーでない場合は、ルート上をすべて調べて無いのだから、その場合だけ、犯人の端末はルート上には現れていない、と断定する。コレを間違えている奴がたくさんいる。自分がアクセスしたサイトが中間者攻撃をしてくる、と判定されて、別のサーバーを疑うからバカだ、とバカにされるのである。

 

さらに、

サーバーにはサーバーソフトがインストールされており、たとえばCloudflareのクラウド用のアプリケーションがその一つだが、プロキシサーバーもインストールされているかもしれないわけで、中間者攻撃をしているサーバーだ、とわかってもすぐにハードウェアをイメージしてはならない。

 

また、ハードがソフトかの区別がつける理由は何か? を考えると、敵軍の手口がわからないうちは、区別を付けないと騙されるからバカにされる。だから区別をつけて騙せないようにする必要があるのである。

 

さらに、

昔、peacepinkのコミュニティのメンバーがそのコミュニティのサーバー管理者を犯人だと断定していたが、もしかすると、Cloudflare製のサーバーアプリケーションがコミュニティ外部の者が悪用していたかもしれず、それならそうではないことをわかっていないと騙されることになる。

 

誰がスパマーなのか? を特定するさまざまな条件をクリアした場合は、犯人特定成功、と。コレをやらないとダメ。そして難易度は高いので、バカにされない、と。

 

このウェブサイトは、

whois.ipip.net

というドメインである。

ドメインとはネットワークを割り当てられて初めて取得することができる、とこのようになっているのでそうなっている、と書きたいところだが、それさえわからない、とこの程度の懐疑的な思考をしていないとスパマーに騙される。ホスティングサービスを使っていない、又は、ホスティングサービスサイト自体がスパマーの会社、ということもあり、誤魔化してドメインを取得したのかもしれないので、ドメインが正式に割り当てられて使われている、とは今の段階では断定しない方が良い。また、どっちにしてもさほど重要ではないこの調査の段階におけるその重要性からみて、ここは軽く調べて終わりにしておくと良いだろう。あとで調べることになるかもしれないからである。

 

他にもいろいろツールを使って調べて、どうやらこのウェブサイト、間違いなく中間者攻撃端末があるネットワークのウェブサイトだ、まで断定した。ウェブサイトサーバーがハードウェアなのかソフトウェアなのか? は分散コンピューティングのテクノロジーがあるのだから、すぐに結論は出せない。いづれにせよ、このウェブサイトはURLまでわかり、そのURLを持つサーバーは、IPアドレスをみて考えてみるとすぐわかるのだが、巨大な犯罪ネットワークのシステムの一部であるかも、と。

 

したがって、このウェブサイトが犯人の使うシステムだ、とわかったら、このURLからすぐにネットワークのIPアドレスを得て、そのネットワークが所属するネットワークはどんなものになっているのか全体像を調べ、そのあとにこのウェブサイトのあるサーバー自身のネットワーク内に犯人の端末があるかもしれないのだから、そのネットワーク内にあった場合は、その端末を特定しないとダメ。

 

他にも沢山の観点がある。断定するまでの諸条件をクリアすると、だいたい分かってくる。ここまでやらないとダメだ、と分かっていると良い。