国内open proxyの現状

2002年頃より、spam中継等を行うunsecureなopen proxyを 潰す活動をしています。これまでに5万件以上のSOCKS/CONNECT proxyの所有者に 対して改善を要望してきました。
常時1万件前後のopen proxyのデータを扱うような状態なのでRDBで管理をしているのですが、 そのデータベースからopen proxyを国別に集計してみると、 このようになります。

だいたい3〜4位の表彰台を狙える位置、少なくてもFIFAのランキングよりは 上につけています。
他の国との比較でproxyのセキュリティに関する日本の相対的な位置が およそわかるかもしれません。

さて、国内のproxyの内訳ですが実にはっきりとした特徴を見ることができます。

(データ更新日時:Wed May 14 07:48:47 2008)

国内open proxyのport

まずは、開いているportごとに集計してみます。

portごとの集計
Port比率
80805469.2%
802126.9%
44411.3%
312811.3%
800011.3%
Total78100.0%

国内のopen proxyは 国外の状態と 比べると非常にシンプルです。 80・8080・3128の3つ、正確を期するとしても4つのportの合計に、 ほとんど全部が含まれてしまいます。そしてport 8080に集中しています。


原因となっているものとその比率

次にopen proxyの原因となっているソフトウェアごとに集計をしてみましょう。 先のページにある国別のものとは合計が合わないですが、 タイミングによって生きている数が違うためと、 ソフトウェアが特定できないものが少数あるためですので、ご了承ください。

ソフトごとの集計
Software比率
LogoVista Translator5266.7%
TOSHIBA DVD/HD Recorder (RD-Style)1519.2%
Apache Web Server33.8%
ProxySG(Blue Coat)22.6%
DeleGate22.6%
SCM-appliance(mcafee)22.6%
Squid Web Proxy Cache11.3%
Apache(Cobalt)11.3%
Total78100.0%
表のSoftwareの意味は次の通りです。
Softwareなにか?
Logovista LogoVistaの 翻訳ソフトウェアである コリャ英和!シリーズ
このソフトウェアはopen proxyとして動作していることが判明し、 2004年の2月に セキュリティ修正プログラムが出ています。
Toshiba DVD/HD Recorder 東芝のRD-StyleシリーズのHD/DVDレコーダーで、これもopen proxy動作を していることが判明し、 2004年の10月に バージョンアップが出ています。 なお、バグありバージョンは、本体設定でパスワードを設定してもproxyとしての 動作には影響がなくopen proxyのままです。必ずアップデートをしてください
CCProxy これはCCProxyを騙るmalwareで、韓国中心に発生しているものです。 すでにKISAでは把握しています。 port 50033や50050のproxyと同様に他国ではほとんど見られないもので、 韓国となんらかのつながりがあるかたが感染してしまっていると思われます。 韓国固有のmalwareに感染してしまったかたには、 韓国語のセキュリティ関連サイトなどで調べるか、KISAに問い合わせてみるように すすめてください。 なお、50033/50050のmalwareは、韓国の主要なウイルス対策ソフトでは 対応済みだということです。

というわけで、国内のopen proxyの原因の大半は、たった一社の欠陥ソフトによるもので、 欠陥AV機器と合わせると7〜8割にもなるということがわかります。 portの集計がシンプルである原因は、キャッシュサーバ等の設定ミスによるopen proxy が日本では少なく、欠陥製品によるものが圧倒的で そのデフォルト設定のportがそのまま表れているというところにあったわけです。 しかも、何年も前に問題が発覚しているその欠陥コンビがいまだに活躍しまくっていて、 その上乗せ分が日本をproxyの多い国に押し上げているというわけです。
LogoVistaについては、p2pなどで欠陥バージョンの不正コピーが 出回っているという可能性もあろうかと思いますが、その可能性・比率は低いようです。 LogoVistaはNot Foundエラーを出させるリクエストによって判定しているのですが、 同じリクエストを出しいるのに、数種類の書式のエラーページが 返ってきていて同一のものが出回っているというようには見られないからです。

悪いことに、この欠陥コンビはメールの不正中継も行います。 dsblなどのブラックリストにかなりの確率で 登録されています。 ただしこれらは、Tokarevさんの proxycheckでは、うまくrelayの確認ができませんので注意が必要です。

ISPのMTAがマルチホップの出口となり、正規のMTAがブラックリスト入りすることもあるでしょう。 また、モノがモノなので、犯罪等に使われると、かなり困ったことにもなりえます。

こんなものが野放しとは、なんだか情けないような 恥ずかしいような気分です。

open proxyのドメインごとの比率


もう少し見てみましょう。 今度は、欠陥コンビの潜伏場所を探るべくドメインごとに集計をしてみます。

ISPごとの集計
ISP比率
bbtec.net3139.7%
ucom.ne.jp1012.8%
invalid56.4%
home.ne.jp56.4%
kcn.ne.jp56.4%
cyberhome.ne.jp45.1%
その他1823.1%
Total78100.0%

こちらの表は、open proxyが1つしかないドメインは 「その他」にまとめています。
invalidになってるのは、逆引きができないところで、 特定のドメインを指しているわけでは無く、実質はバラバラです。 なお、ISPでもないのにここに載ってしまったドメインのかたは、 すぐにopen proxyの状態を直してください。 翌日の昼ごろ、最悪でも翌々日の昼には消えます。
ここにあるドメインからの、 データ問い合わせは 大歓迎です。 ただし、関係のない人へ渡ってしまうのを避けるため、 abuse.net登録アドレス (ISPは必ず登録・メンテナンスしましょう)・ Whoisデータベースのアドレス・ ウェブ上でサポート担当であると確認できるアドレス・ rfc2142の アドレスから送られたものでなければ、対応できません。

さて、国内のopen proxyは、皆こんなところにいやがるわけです。 やっぱり動的割り当ての一般ユーザーが使うようなところです。
接続にルーターを使わないようなISPが多い。 というか、ヤフーBB!に国内open proxyの半分近くが存在します。
その「ルーターを使わないような」裸で接続させているというのも一因でしょう。

でも、もうひとつあるようです。

対処依頼をしてみました

よその国のopen proxyにさんざ首を突っ込んでるのに、 国内の問題にはシランプリでは、反日感情が高まってしまいます(ちょっと嘘)。
こちらの持っているIPアドレス、ポート、原因となっているもの、 リレー確認時のタイムスタンプなどを含むISPごとのデータを抜き出してメールを送る プログラムを作ってopen proxyの多いところ3つに対処を依頼してみました。 (実データによる出力例

どことは言いませんが、いちばん多いopen proxyの巣窟のサポートからは

「弊社では被害者の申告により対処を行っているので、 被害者でない人からの依頼には対処できません」という意味の返事が来ました。

これまで世界中に5万を越える対処依頼を送っているのですが、 このような反応ははじめてなので、ちょっと驚きでした。
被害者にならないと、対処依頼ができないシステムのようで、 余計なお世話だったようです。
犯罪や迷惑行為で犠牲者が出たら、 open proxyがひとつ減るという感じなんでしょうか。
知らずにopen proxyを提供してしまっている人も、 犯罪や迷惑行為に幇助の形で巻き込まれないかぎりISPからは教えてもらえないわけで、 なんだか大変そうですね。

他からは対処を行なっていただけるという返事をいただいていて、 やめろと言われなければ月に2度程度レポートを送らせていただきますので、 徐々に2位以下は減っていくかもしれません。 open proxyの巣窟は、寡占状態まっしぐらだと思われます。

というわけで、断られたところには、まとめた資料を送るのはやめましたが、 その後、単IPアドレスで通知が送られたものについては対処していただけるとの返事が来ています。

もっともこの返事のメール
Content-Transfer-Encoding: base64
とか
Recieved: from mail02.sbb-sys.info (HELO armlr02.infranet.softbankbb.local)
とか
Message-ID: <20060216.1141378494477.JavaMail.SYSTEM@arwal09>
とか
大手ISPのabuseにしては相当に設定がいかれているので、 偽物なんじゃないかと思いますが…。

改善されるか?

どうなっていくのか見守るぐらいしかできないわけですが





(集計タイミングが違うので少なく出ていると思いますが、傾向はわかるかと思います)

まとめ



余談

ここからは余談です。どうやってopen proxyの正体つきとめるのか興味を持たれるかたも いらっしゃるかもしれないので、簡単に説明します。
まっとうなproxyとして作られたソフトウェアの場合は、 ソフトウェアを識別できる環境変数が付加されているケースがほとんどです。 具体的には、Proxy-agent:、Via:、Server:といった変数です。
いいかげんな作りのやつや、欠陥系はそういったものが出てこないので、 エラーページを出させるようなバカなリクエストをして、エラーページの特徴を見ます。
この手のものは、応答が返ってくるかどうかさえ不確かですから、I/Oブロックされて全スレッドが 止まるなんていうのは困るわけで、ネイティブスレッドで使えて、 ネットワーク関係のライブラリが揃っているPythonでやるのが、いちばん楽みたいです。
リレーチェックなどは50スレッド並列ぐらいのやつが一日中1つか2つは 裏で動いているような感じですが、クラッシュしたり 大きな負荷になることもなく調子はいいです。
ちなみにこのページもPythonが吐いていて、一日一回だけ表の部分が更新されます。

正体をつきとめる部分を、ひとつだけのIPアドレスに対して行うjavaアプリも はずみで作ったので、よかったら試してみてください。public domainです。
javaはめったに使わないので変なところがああるかもしれませんが。

Download (Mon May 8 22:39:46 2006版)   Screen Shot

java -jar Identprx.zip で動くことになってます(ソースはzip=jarの中に入ってます)
もともとは、ビギナーの人でも使えるようなものがあれば、 原因となっているものを指摘して対処してもらえるので、 欠陥コンビみたいなものが減るかもしれないと思って、 誰かこういうのWindosで作ってくれないかなとサンプルとして作ったものです。 (いま家にWindowsないんです)
サポートの人もDVD/HDレコーダーまではなかなかたどりつかないでしょうから。

それと、どうやってproxyを見つけているのかと時々きかれます。 先のメールの例や、 チェックの際にリファラで渡しているURLにチラッと書いてあるように scanしてるわけではなく、proxyのリストのサイトや掲示板などから 拾ってきています。これもPythonで書いたcrawlerとシェルスクリプトが だいたい一日に5,000〜10,000ほどは拾ってきます。 そのうち9割以上は、重複かすでに持っているデータなんですが。 (よくbanもされてます)

こういう方法を取っているのは、おそらく一部のproxy hi-jack系スパマーも 同じようなことをしてるのではないかという推測からです(基本的にopen proxyによる spamを減らすのが目的なので)。 拾ってくる場所の傾向などはとくに決まっているわけではなく、 どこからと言うことはできないのですが、 最近は中国産(代理列表とかサイトに書いてある)が多いです。

ですから、実数とは大きな差がありますし、無作為抽出とも違う結果になっているかもしれません。 また、過去24時間の間の数回のチェックでopenと判定されたもののみを集計しており、 データとしては3〜8倍ぐらいの量があります。
実数との差の推定材料としては、韓国における malwareによるproxy のときの数が、めやすになるかもしれません。 ここで感染の実数が16000IPとなっていますが、こちらからKISAに提供したときに、 保持していたデータ量は約2500IPほどで、発表された実数の約15パーセントにあたる量でした。
これは、ほぼこちらのデータベースで、韓国 malware proxy のピークとなった数です。

通知の労力ですが、通知メールは手で書いているわけではなく勝手に出ていきます。 whoisの書式が出鱈目なのとwhoisサーバが死んでいることがあるので、 送信先不明のやつがいくらか出てくるんですが、気が向かないかぎりほっぽってます。

Home
Hiroshi Tsukamoto


powerd by Python, psycopg, pygdchart2,