Codered,Nimdaウィルスのアタックが相変わらず多い。両者の特徴から言って、近いIPを狙うらしい。だから同じISP、つまり私が使っているぷららで、かつ、IISでサーバを立ててるっていう輩が無意識に攻撃してくるわけだ。他のISPのホストも当然ながら多く、Yahoo!BBが次に多い。しかしそれらが誰かはわからんので、当然ISPにいろいろと言うわけであるが、そのテンプレートを以下に示す。

お世話になります。 貴ホストからの不正アクセスがここ数日で下記の通り発生しています。 以下にログを示しますので、適正に対処願います。

なお、CodeRed,Nimdaと思われるものです。 以下ログ exsample.ne.jp - - [16/Apr/2003:09:08:45 +0900] “GET /scripts/..%252f../winnt/sys tem32/cmd.exe?/c+dir HTTP/1.0” 404 1076 “-” “-” exsample.ne.jp - - [16/Apr/2003:10:03:01 +0900] “GET /default.ida?XXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u68 58%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b% u53ff%u0078%u0000%u00=a HTTP/1.0” 404 1076 “-” “-”

これらに対して、来たメールをそれぞれ示す。

まずは、 ぷらら

皆川博智 様 株式会社ぷららネットワークス ぷららサポートセンターでございます。 平素は「ぷらら」をご愛顧頂き、誠にありがとうございます。 ご連絡をいただいた件につきまして、返信させていただきます。 今回のウイルスにつきましては、弊社にてご連絡いただいた情報から、 早速調査を行わせていただいております。 該当会員を特定することができ次第、本行為に対する迷惑申告があったことを伝え、 駆除方法等について通告いたします。 本件のようなウイルス感染による不正アクセスの発生については、 アクセスの発生元であるサーバ機器そのものを管理されている管理者側での セキュリティ対策に依存するところであり、プロバイダとしての対応が難しい問題 でもあると思うのですが、弊社としましては、ぷららIPアドレスから発生している CodeRed、Nimdaなどによるアクセスログのご申告については、その都度ログから 実施者を調査、特定し、実施者に対しての対応を行わせて頂いております。 この度のご連絡、まことにありがとうございました。

まぁ、対応として非常にまともな回答である。この後何度かやり取りしているが、その都度きちんと担当者が書いている感はあり、コピーペーストではないことがわかった。

次、 Yahoo!BB

こんにちは、Yahoo! BBカスタマーサポートセンターです。 Yahoo! BBをご利用いただきましてありがとうございます。 お問い合わせの件につきまして、現在担当部署にて調査、対応中でございます。 できる限り迅速な回答をさせていただけるよう、担当部署に手配しておりますが、 現在、多数のお問い合わせをいただいておりますため、ご連絡が遅れる場合がございます。 ご迷惑をお掛け致しまして大変申し訳ございませんが、 今しばらくお待ちくださいますようお願い申し上げます。

一回目の回答としてはコピーペーストとしても無難ではあるが、その後の回答も連絡も無い。まぁ、期待はしていなかったが、対応としては合格とはいえない。連絡すると言った以上は連絡をしろよな。

次、 OCN

この度はお問い合わせをいただき、ありがとうございます。 OCNカスタマサポート担当 **と申します。 ご連絡を賜り恐縮でございます。 早速ですが、今回お問い合わせをいただいておりますメールにつきまして、 お客様よりご連絡いただいた情報を元に、確認が出来次第、当該者に対しまして、 Klezウィルスの情報、ウィルス駆除ソフト等によるチェック並びに、 早急に駆除等していただくよう連絡させていただきたいと存じます。 お客様に、ご迷惑ならびに心労をお掛けしたことにつきましては、 大変申し訳ございませんでした。心よりお詫び申し上げます。

なお、CodeRed,Nimdaと思われるものです。

と、わざわざ書いてやっているのにも関わらず、Klezだと? 的外れも甚だしい。

次、 ケイ・オプティコム

この度は、弊社にメールにてご連絡下さり誠にありがとうございます。 お問合せの件に関しましては、 現在弊社にて迷惑行為を行っている該当ユーザーの特定調査を実施しております。 ご迷惑をおかけ致しますが、今しばらくお待ち下さいます様お願い申し上げます。 今後ともケイ・オプティコムを宜しくお願い申し上げます。

まぁ、不満だがOCNよりマシ。しばらく待ったら、

いつもお世話になっております。ケイ・オプティコムお客様センターでございます。 お問合せ頂いておりました、 弊社ユーザーと思われる人物による迷惑行為の件につきましては、 弊社にて調査させていただき該当と思われるお客様に連絡致しましたので まずは取り急ぎご報告させていただきます。 今後も同内容の迷惑行為が継続されるようであれば、 誠にお手数ですが今一度ご連絡頂けますでしょうか。 今後ともケイ・オプティコムを宜しくお願い申し上げます。

と来たので、何も連絡の無いY!BBよりマシだし、合格と言えよう。

次、 ソネット

So-netインフォメーションデスクです。 この度はご連絡賜りまして、誠にありがとうございます。 今回の件につきましては、担当部署にて内容を調査、事実確認の上、 弊社会員による行為であることが判明しました際には、弊社規約に 則った対処を講じる所存でございます。 しかしながら、今回お知らせいただきました情報のみでは、調査に 必要な情報が不足しておりますため、今一度詳細をご連絡賜りたく お願いいたします。 ・今回ご連絡をいただきました経緯(不正アクセス・アタック等の 攻撃と判断された具体的な現象等その詳細) ・そのアクセスログ (ログより)攻撃されたポート番号 (ログより)アクセス時間 時分秒まで (ログより)該当IPアドレスもしくはリモートホスト なお、セキュリティソフトをご利用の場合、上記詳細の確認方法等 ソフトメーカー様までお問い合わせの上、具体的な内容をお知らせ ください。 以上、何卒よろしくお願いいたします。

はぁ? httpに対する不正アクセスがCodered,Nimdaだというのはちょっとした人なら誰でもわかることであり、 ポート番号だの聞いている場合ではない のだ。しかも、ログには時分秒を記載し、IPもホストも書いてあるのに、これである。呆れて物が言えない。OCN以上にマヌケである。機械的コピペ文の回答ならメールを読んでいない証拠とも取れる。

で、時分秒も記載しているし、ホストも書いてるよ、あんたメール読めないの?と書いてやった1ら、ありきたりな「ご連絡ありがとうございました」的なメールが着たきりである。

結論。ソネットはサポートがダメ。

次、 ビッグローブ

お問い合わせありがとうございます。 BIGLOBEカスタマーサポート**と申します。 「CodeRed」ワームの動作によると思われるアクセスに関するご連絡 ありがとうございました。 ご指摘のIPアドレスにつきましては、弊社「BIGLOBE」 サービスに割り当てられたものでございます。 当該会員に対し感染警告と対応策のご案内をいたしましたので、何卒ご了承ください。 以上、引き続きご不明な点がございましたら私、 **宛にメールにてご連絡くださいますようお願い申し上げます。 (本件につきましてはお電話での回答はいたしかねますのでご了承ください) / 紳士的な対応。

次、 モペラ(NTTドコモ)

NTTドコモの**と申します。お世話になっております。 先日、弊社のmopera.ne.jp 運用責任者へご連絡頂きました 不正アクセスに関する件でご連絡申し上げます。 皆川様よりお送りいただいたログは、CodeRedウィルス感染者が、弊社の モペラを経由して皆川様のサーバがアタックを受けた記録のようです。 CodeRedは、感染者自らが知らないうちに、他IPアドレスに対して攻撃を してしまうウィルスです。(下記を参照ください) http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html http://www.symantec.com/region/jp/sarcj/data/c/codered_ii.html 弊社といたしましては、ウィルス感染に対する注意情報を、モペラのHP (mopera WebStation)にて掲載し、モペラ利用の全ユーザに対して注意 喚起を実施しております。ご確認ください。 http://www.mopera.net http://www.mopera.net/surfing/setting/security/index.html なお、皆川様からのご依頼にて、弊社が不正アクセスユーザを割り出し 個別に警告等を実行することは、「お客様の通信の秘密の侵害」にあたり、 法律上不可能な行為となっております。ご理解を賜りますようお願い申し 上げます。 今後もこのようなアクセスが続く場合、最も有効な施策として、最寄の 警察に被害届を提出されることをお願いしております。 実際には、最寄の警察の生活安全課がInternetの犯罪に関する窓口に なっています。警察も、Internetを利用した小口詐欺・掲示板荒らし・ ハッキングやクラッキングによるサービス被害等の取り締まりを強化して おります。

前半は良い。しかし後半は逃げ腰で、最後は警察に振っているのである。何じゃそりゃ。積極的に解決しようという意思はゼロだ。通信の秘密の侵害に相当するかもしれないことは重々承知だが、野放しにしておくことはもっと危険なのではないか。現にぷららとケイ・オプティコムとビッグローブはユーザーの特定とアナウンスをしているわけで、積極的に感染者を減らそうという努力は感じられた。

ISPを選ぶ際にはこういうことも考えてみた方が良い、と筆者は思う。

  1. 本当はもっと丁寧に書いている ↩︎