国内open proxyの現状

2002年頃より、spam中継等を行うunsecureなopen proxyを潰す活動をしています。これまでに5万件以上のSOCKS/CONNECT proxyの所有者に対して改善を要望してきました。
常時1万件前後のopen proxyのデータを扱うような状態なのでRDBで管理をしているのですが、そのデータベースからopen proxyを国別に集計してみると、このようになります。

だいたい３～４位の表彰台を狙える位置、少なくてもFIFAのランキングよりは上につけています。
他の国との比較でproxyのセキュリティに関する日本の相対的な位置がおよそわかるかもしれません。

さて、国内のproxyの内訳ですが実にはっきりとした特徴を見ることができます。

(データ更新日時:Thu Feb 26 05:27:48 2009)

国内open proxyのport

まずは、開いているportごとに集計してみます。

Port	数	比率
8080	425	74.6%
80	106	18.6%
3128	21	3.7%
444	7	1.2%
8081	2	0.4%
8000	2	0.4%
443	2	0.4%
88	1	0.2%
81	1	0.2%
8088	1	0.2%
553	1	0.2%
8090	1	0.2%
Total	570	100.0%

国内のopen proxyは国外の状態と比べると非常にシンプルです。 80・8080・3128の3つ、正確を期するとしても4つのportの合計に、ほとんど全部が含まれてしまいます。そしてport 8080に集中しています。

原因となっているものとその比率

次にopen proxyの原因となっているソフトウェアごとに集計をしてみましょう。先のページにある国別のものとは合計が合わないですが、タイミングによって生きている数が違うためと、ソフトウェアが特定できないものが少数あるためですので、ご了承ください。

Software	数	比率
LogoVista Translator	369	64.7%
TOSHIBA DVD/HD Recorder (RD-Style)	45	7.9%
Squid Web Proxy Cache	42	7.4%
Apache Web Server	42	7.4%
InterScanWebManager (Trendmicro)	20	3.5%
Apache(Cobalt)	7	1.2%
Jaguar/3.0-71	6	1.1%
SCM-appliance(mcafee)	5	0.9%
DeleGate	5	0.9%
CCProxy	4	0.7%
MS-ISA-Server	3	0.5%
NetCache NetApp	3	0.5%
Microsoft-IIS/5.0	3	0.5%
iPlanet-Web-Proxy-Server/3.6	1	0.2%
Netscape-Proxy/3.52	1	0.2%
InterScanVirusWall (Trendmicro)	1	0.2%
CSM Proxy Server	1	0.2%
Mikrotik HttpProxy	1	0.2%
smartcds/6.1.2-fsd	1	0.2%
Venturi Client	1	0.2%
4D_WebStar_D/2004	1	0.2%
WebProxy/Monaco_Edition_Release_5.0_3021	1	0.2%
AnWeb/1.42p	1	0.2%
IWSS(Trendmicro)	1	0.2%
Cisco Application and Content Networking System	1	0.2%
Oracle HTTP Server Powered by Apache/1.3.19 (Win32) mod_plsql/3.0.9.8.3b mod_ssl/2.8.1 OpenSSL/0.9.5a mod_fastcgi/2.2.10 mod_oprocmgr/1.0 mod_perl/1.25	1	0.2%
WinGate 6.0.4 (Build 1028)	1	0.2%
ProxySG(Blue Coat)	1	0.2%
Indy/10.0.52	1	0.2%
Total	570	100.0%

表のSoftwareの意味は次の通りです。

Software	なにか？
Logovista	LogoVistaの翻訳ソフトウェアであるコリャ英和！シリーズこのソフトウェアはopen proxyとして動作していることが判明し、 2004年の2月にセキュリティ修正プログラムが出ています。
Toshiba DVD/HD Recorder	東芝のRD-StyleシリーズのHD/DVDレコーダーで、これもopen proxy動作をしていることが判明し、 2004年の10月にバージョンアップが出ています。なお、バグありバージョンは、本体設定でパスワードを設定してもproxyとしての動作には影響がなくopen proxyのままです。必ずアップデートをしてください
CCProxy	これはCCProxyを騙るmalwareで、韓国中心に発生しているものです。すでにKISAでは把握しています。 port 50033や50050のproxyと同様に他国ではほとんど見られないもので、韓国となんらかのつながりがあるかたが感染してしまっていると思われます。韓国固有のmalwareに感染してしまったかたには、韓国語のセキュリティ関連サイトなどで調べるか、KISAに問い合わせてみるようにすすめてください。なお、50033/50050のmalwareは、韓国の主要なウイルス対策ソフトでは対応済みだということです。

というわけで、国内のopen proxyの原因の大半は、たった一社の欠陥ソフトによるもので、欠陥AV機器と合わせると7～8割にもなるということがわかります。 portの集計がシンプルである原因は、キャッシュサーバ等の設定ミスによるopen proxy が日本では少なく、欠陥製品によるものが圧倒的でそのデフォルト設定のportがそのまま表れているというところにあったわけです。しかも、何年も前に問題が発覚しているその欠陥コンビがいまだに活躍しまくっていて、その上乗せ分が日本をproxyの多い国に押し上げているというわけです。
LogoVistaについては、p2pなどで欠陥バージョンの不正コピーが出回っているという可能性もあろうかと思いますが、その可能性・比率は低いようです。 LogoVistaはNot Foundエラーを出させるリクエストによって判定しているのですが、同じリクエストを出しいるのに、数種類の書式のエラーページが返ってきていて同一のものが出回っているというようには見られないからです。

悪いことに、この欠陥コンビはメールの不正中継も行います。 dsblなどのブラックリストにかなりの確率で登録されています。ただしこれらは、Tokarevさんの proxycheckでは、うまくrelayの確認ができませんので注意が必要です。

ISPのMTAがマルチホップの出口となり、正規のMTAがブラックリスト入りすることもあるでしょう。また、モノがモノなので、犯罪等に使われると、かなり困ったことにもなりえます。

こんなものが野放しとは、なんだか情けないような恥ずかしいような気分です。

open proxyのドメインごとの比率

もう少し見てみましょう。今度は、欠陥コンビの潜伏場所を探るべくドメインごとに集計をしてみます。

ISP	数	比率
bbtec.net	172	30.2%
ucom.ne.jp	47	8.2%
home.ne.jp	46	8.1%
invalid	43	7.5%
ocn.ne.jp	23	4.0%
infoweb.ne.jp	18	3.2%
kcn.ne.jp	13	2.3%
eonet.ne.jp	8	1.4%
cyberhome.ne.jp	8	1.4%
mesh.ad.jp	7	1.2%
dion.ne.jp	6	1.1%
zaq.ne.jp	6	1.1%
asahi-net.or.jp	6	1.1%
vectant.ne.jp	5	0.9%
yournet.ne.jp	5	0.9%
wakwak.ne.jp	4	0.7%
lan-do.ne.jp	4	0.7%
so-net.ne.jp	4	0.7%
katch.ne.jp	4	0.7%
odn.ad.jp	3	0.5%
bb-west.ne.jp	3	0.5%
fiberbit.net	3	0.5%
pikara.ne.jp	3	0.5%
btvm.ne.jp	3	0.5%
ishikawa.jp	3	0.5%
mediatti.net	3	0.5%
tees.ne.jp	2	0.4%
toshima.ne.jp	2	0.4%
edit.ne.jp	2	0.4%
c3-net.ne.jp	2	0.4%
ccsnet.ne.jp	2	0.4%
ars-system.co.jp	2	0.4%
actv.ne.jp	2	0.4%
starcat.ne.jp	2	0.4%
net3-tv.net	2	0.4%
thn.ne.jp	2	0.4%
sensyu.ne.jp	2	0.4%
dgko.jp	2	0.4%
kcn-tv.ne.jp	2	0.4%
medias.ne.jp	2	0.4%
gmo-access.jp	2	0.4%
plala.or.jp	2	0.4%
s-cnet.ne.jp	2	0.4%
tmtv.ne.jp	2	0.4%
bbiq.jp	2	0.4%
nice-tv.jp	2	0.4%
ccnw.ne.jp	2	0.4%
bai.ne.jp	2	0.4%
bbexcite.jp	2	0.4%
odn.ne.jp	2	0.4%
octv.ne.jp	2	0.4%
cablenet.ne.jp	2	0.4%
その他	68	11.9%
Total	570	100.0%

こちらの表は、open proxyが1つしかないドメインは「その他」にまとめています。

invalidになってるのは、逆引きができないところで、特定のドメインを指しているわけでは無く、実質はバラバラです。なお、ISPでもないのにここに載ってしまったドメインのかたは、すぐにopen proxyの状態を直してください。翌日の昼ごろ、最悪でも翌々日の昼には消えます。
ここにあるドメインからの、データ問い合わせは大歓迎です。ただし、関係のない人へ渡ってしまうのを避けるため、 abuse.net登録アドレス (ISPは必ず登録・メンテナンスしましょう)・ Whoisデータベースのアドレス・ウェブ上でサポート担当であると確認できるアドレス・ rfc2142のアドレスから送られたものでなければ、対応できません。

さて、国内のopen proxyは、皆こんなところにいやがるわけです。やっぱり動的割り当ての一般ユーザーが使うようなところです。
接続にルーターを使わないようなISPが多い。というか、ヤフーBB!に国内open proxyの半分近くが存在します。
その「ルーターを使わないような」裸で接続させているというのも一因でしょう。

でも、もうひとつあるようです。

対処依頼をしてみました

よその国のopen proxyにさんざ首を突っ込んでるのに、国内の問題にはシランプリでは、反日感情が高まってしまいます（ちょっと嘘）。
こちらの持っているIPアドレス、ポート、原因となっているもの、リレー確認時のタイムスタンプなどを含むISPごとのデータを抜き出してメールを送るプログラムを作ってopen proxyの多いところ３つに対処を依頼してみました。（実データによる出力例）

どことは言いませんが、いちばん多いopen proxyの巣窟のサポートからは

「弊社では被害者の申告により対処を行っているので、被害者でない人からの依頼には対処できません」という意味の返事が来ました。

これまで世界中に5万を越える対処依頼を送っているのですが、このような反応ははじめてなので、ちょっと驚きでした。
被害者にならないと、対処依頼ができないシステムのようで、余計なお世話だったようです。
犯罪や迷惑行為で犠牲者が出たら、 open proxyがひとつ減るという感じなんでしょうか。
知らずにopen proxyを提供してしまっている人も、犯罪や迷惑行為に幇助の形で巻き込まれないかぎりISPからは教えてもらえないわけで、なんだか大変そうですね。

他からは対処を行なっていただけるという返事をいただいていて、やめろと言われなければ月に２度程度レポートを送らせていただきますので、徐々に2位以下は減っていくかもしれません。 open proxyの巣窟は、寡占状態まっしぐらだと思われます。

というわけで、断られたところには、まとめた資料を送るのはやめましたが、その後、単IPアドレスで通知が送られたものについては対処していただけるとの返事が来ています。

もっともこの返事のメール

Content-Transfer-Encoding: base64
とか
Recieved: from mail02.sbb-sys.info (HELO armlr02.infranet.softbankbb.local)
とか
Message-ID: <20060216.1141378494477.JavaMail.SYSTEM@arwal09>
とか

大手ISPのabuseにしては相当に設定がいかれているので、偽物なんじゃないかと思いますが…。

改善されるか？

どうなっていくのか見守るぐらいしかできないわけですが

(集計タイミングが違うので少なく出ていると思いますが、傾向はわかるかと思います)

まとめ

現在の国内のopen proxyは、ひと昔前とは異なり、一般利用者による家庭内proxyである
その欠陥製品による上積みが、日本をopen proxyの多い国に押し上げている
こういったproxyに対しては、発見者が運用者に直接連絡するすべがなく、運用者も心当たりさえない可能性が高いと思われるので、解決にはISPの認識やサポート力に依存する部分が大きく、サポート力の格差により局在化が進む可能性がある。
欠陥製品によって、犯罪や迷惑行為といったトラブルに自社製品利用者を巻き込む可能性を高めている企業が、社会的責任を果たし、解決に向けて十分な努力をしているようには、現実の数字の上からは読み取ることができない。

余談

ここからは余談です。どうやってopen proxyの正体つきとめるのか興味を持たれるかたもいらっしゃるかもしれないので、簡単に説明します。
まっとうなproxyとして作られたソフトウェアの場合は、ソフトウェアを識別できる環境変数が付加されているケースがほとんどです。具体的には、Proxy-agent:、Via:、Server:といった変数です。
いいかげんな作りのやつや、欠陥系はそういったものが出てこないので、エラーページを出させるようなバカなリクエストをして、エラーページの特徴を見ます。
この手のものは、応答が返ってくるかどうかさえ不確かですから、I/Oブロックされて全スレッドが止まるなんていうのは困るわけで、ネイティブスレッドで使えて、ネットワーク関係のライブラリが揃っているPythonでやるのが、いちばん楽みたいです。
リレーチェックなどは50スレッド並列ぐらいのやつが一日中１つか２つは裏で動いているような感じですが、クラッシュしたり大きな負荷になることもなく調子はいいです。
ちなみにこのページもPythonが吐いていて、一日一回だけ表の部分が更新されます。

正体をつきとめる部分を、ひとつだけのIPアドレスに対して行うjavaアプリもはずみで作ったので、よかったら試してみてください。public domainです。
javaはめったに使わないので変なところがああるかもしれませんが。

Download (Mon May 8 22:40:09 2006版) Screen Shot

java -jar Identprx.zip　で動くことになってます(ソースはzip=jarの中に入ってます)
もともとは、ビギナーの人でも使えるようなものがあれば、原因となっているものを指摘して対処してもらえるので、欠陥コンビみたいなものが減るかもしれないと思って、誰かこういうのWindosで作ってくれないかなとサンプルとして作ったものです。（いま家にWindowsないんです）
サポートの人もDVD/HDレコーダーまではなかなかたどりつかないでしょうから。

それと、どうやってproxyを見つけているのかと時々きかれます。先のメールの例や、チェックの際にリファラで渡しているURLにチラッと書いてあるように scanしてるわけではなく、proxyのリストのサイトや掲示板などから拾ってきています。これもPythonで書いたcrawlerとシェルスクリプトがだいたい一日に5,000～10,000ほどは拾ってきます。そのうち9割以上は、重複かすでに持っているデータなんですが。 (よくbanもされてます)

こういう方法を取っているのは、おそらく一部のproxy hi-jack系スパマーも同じようなことをしてるのではないかという推測からです（基本的にopen proxyによる spamを減らすのが目的なので）。拾ってくる場所の傾向などはとくに決まっているわけではなく、どこからと言うことはできないのですが、最近は中国産（代理列表とかサイトに書いてある）が多いです。

ですから、実数とは大きな差がありますし、無作為抽出とも違う結果になっているかもしれません。また、過去２４時間の間の数回のチェックでopenと判定されたもののみを集計しており、データとしては3～8倍ぐらいの量があります。
実数との差の推定材料としては、韓国における malwareによるproxy のときの数が、めやすになるかもしれません。ここで感染の実数が16000IPとなっていますが、こちらからKISAに提供したときに、保持していたデータ量は約2500IPほどで、発表された実数の約15パーセントにあたる量でした。
これは、ほぼこちらのデータベースで、韓国 malware proxy のピークとなった数です。

通知の労力ですが、通知メールは手で書いているわけではなく勝手に出ていきます。 whoisの書式が出鱈目なのとwhoisサーバが死んでいることがあるので、送信先不明のやつがいくらか出てくるんですが、気が向かないかぎりほっぽってます。

Home

Hiroshi Tsukamoto

powerd by Python, psycopg, pygdchart2,