プロキシサービスを悪用したメールの不正中継行為について調査結果を発表（警察庁）

製品・サービス・業界動向業界動向

2008年3月5日（水） 17時30分

警察庁は2月29日、「プロキシサービスを悪用したメール等の不正中継行為の情勢について」と題した調査分析レポートを公表した。同レポートは、警察庁サイバーフォースセンターが実際に3台の公開プロキシサーバ（オープンプロキシ）を国内に設置し、TCPの1080番、3128番、8080番の3つのポートを公開して、オープンプロキシに対するアクセス内容などを観測・分析したもの。観測期間は2006年9月からの16カ月間。

発表によると、オープンプロキシに対する中継試行は、24の国/地域、合計413のIPアドレスから行われ、アクセスされた総数は、1サーバにつき2,087件、1日あたり平均4.3件あった。各ポート別アクセス状況は、8080/TCP（18.4％）、3128/TCP（11.6％）、1080/TCP（70.0％）となっている。8080番ポートへのアクセスでは、Webへのアクセス要求試行が47.4％、メールの不正中継試行が39.8％。3128番ポートでは、メールの不正中継試行が46.3％、Webへのアクセス要求試行が40.2％。1080番では96.0％が脆弱性を突く攻撃と報告されている。オープンプロキシにアクセスした発信元の国/地域別比率では、米国と台湾からのアクセスが全体の約70％を占めた。また、発信元IPアドレスの逆引き結果によると、一般利用者回線と推測されるものが多いとのこと。

同庁では、オープンプロキシに対するメールの不正中継試行が多いことから、さらに別途不正中継を観測するオープンプロキシを1台設置し、2007年11月からの1か月間、調査を行った。その結果、受信したメールは全てメールの不正中継試行を意図したものと分かり、受信メール総数は70,661件、1日あたりの平均は約2,355件を記録した。この中には、オープンプロキシの探索行為に使用していると考えられるメールが多数あることから、悪意のあるユーザーは、このような手法を用いて利用可能なオープンプロキシを探索し、リスト化していると推察している。

同庁では、プロキシサービスが不要な場合にはサービスを停止する、プロキシサービスを利用する場合には第三者に悪用されないよう適切なアクセス制御を行なうといった、システム環境設定の見直し、脆弱性修正プログラムなどの適用を対策として挙げ、こうした不正行為に利用されないよう注意を促している。

http://www.cyberpolice.go.jp/server/rd_env/pdf/20080229_PROXY.pdf

《ScanNetSecurity》