|
禁無断転載 
ポンポンネットあほ管理者とJAH柴田との会話2 >From sayaka@powdermilk.jah.ne.jp Wed Jan 7 13:01:48 1998 Received: from powdermilk.jah.ne.jp (powdermilk.jah.ne.jp [202.229.108.30]) by ppn1.ppn.ne.jp (8.8.5/3.5Wpl5) with ESMTP id NAA02395 for by powdermilk.jah.ne.jp (8.8.7+2.7Wbeta7/3.6Wbeta6-jahleaf97101416) id NAA01702; Wed, 7 Jan 1998 13:03:54 +0900 (JST) Message-Id: <199801070403.NAA01702@powdermilk.jah.ne.jp> To: aono@ipro.ad.jp Cc: postmaster@po.jah.ne.jp, others@po.jah.ne.jp, info@ppn.ne.jp Subject: Re: Re[2]: E-MAIL BOMBING From: SHIBATA Hiroyuki Content-Type: Text/Plain; charset=iso-2022-jp Content-Transfer-Encoding: 7bit Date: Wed, 07 Jan 1998 13:03:53 +0900 Sender: sayaka@powdermilk.jah.ne.jp いつもお世話になっております、InternetJAHの柴田です Shinichi Aono Tue, 6 Jan 1998 20:40:29 +0900 (JST)に出した 「Re[2]: E-MAIL BOMBING」 にはこう書かれています: | 上記の情報だけでは何ともいえませんので少なくともメールを受けた日、ヘッダ | やヘッダのReceived:でも分からないことには弊社では追求は難しいかと思われま | す。 おっしゃる通りです。 例えば以下のようなメイルが何通も届いておりました。 >Received: by cosmo.jah.ne.jp for yusuke >(with Cubic Circle's cucipop (v1.21 1997/08/10) Fri Nov 21 16:18:11 1997) Received: from excalibur.prohosting.com (www@excalibur.shadowlink.net [207.201.91.14]) >by po.jah.ne.jp (8.8.7+2.7Wbeta7/3.6Wbeta6-jahgw97100111) with ESMTP id GAA09676 >for >by excalibur.prohosting.com (8.8.7/8.8.5) id PAA04425; Thu, 20 Nov 1997 15:02:08 -0700 (MST) >Message-Id: <199711202202.PAA04425@excalibur.prohosting.com> Subject: Hello!! >From: devil@hell.com >Date: Thu, 20 Nov 1997 15:02:08 -0700 (MST) Content-Type: text/plane >Content-Transfer-Encoding: 7bit >X-From_: devil@hell.com Fri Nov 21 06:56:30 1997 接続拒否の制限をかけてから以降も以下のように送られてきております。 (sendmailのログからの抽出です) syslog.7:Dec 30 11:54:58 cosmo.jah.ne.jp sendmail[6404]: LAA06404: ruleset=check_mail, arg1= syslog.7:Dec 30 11:54:58 cosmo.jah.ne.jp sendmail[6404]: LAA06404: from= syslog.7:Dec 30 11:54:58 cosmo.jah.ne.jp sendmail[6405]: LAA06405: from= syslog.7:Dec 30 11:54:59 cosmo.jah.ne.jp sendmail[6408]: LAA06408: from= syslog.7:Dec 30 11:54:59 cosmo.jah.ne.jp sendmail[6409]: LAA06409: from= syslog.7:Dec 30 11:55:00 cosmo.jah.ne.jp sendmail[6413]: LAA06413: from= これらのメイルもユーザwwwからですので、CGIから送られてきているのでは ないかと思いますが、もし何か分かりましたら、情報をおよせください。 | JPCERTにも以下のような事が原因だった事をお伝えください。 | 今回のMAIL BOMBの手口 | ある手口を使ってパスワードファイルを改竄 | シェルを使用できるアカウントを不正に作成 パスワードファイルの改竄、アカウントの作成が可能であったという のは、重大なセキュリティホールだと思うのですが、その点は十分に 対策されたと考えてよろしいのでしょうか。 以上、宜しくお願い致します。 -- コスモメディア株式会社 柴田浩幸 >From aono@ipro.ad.jp Wed Jan 7 17:23:49 1998 X-UIDL: cbf8a814086d09127b27765157b401f9 Received: from ipro.ad.jp (zapper.ipro.ad.jp [203.179.1.2]) by ppn1.ppn.ne.jp (8.8.5/3.5Wpl5) with ESMTP id RAA06198 for Received: from Magi3.ipro.ad.jp (ipc-pc012.ipro.ad.jp [203.179.1.22]) by ipro.ad.jp (8.8.7/3.5Wpl7) with SMTP id RAA16914; Wed, 7 Jan 1998 17:24:37 +0900 (JST) Date: Wed, 7 Jan 1998 17:24:37 +0900 (JST) Message-Id: <199801070824.RAA16914@ipro.ad.jp> From: Shinichi Aono To: SHIBATA Hiroyuki Subject: Re[2]: Re[2]: E-MAIL BOMBING In-Reply-To: <199801070403.NAA01702@powdermilk.jah.ne.jp> References: <199801061140.UAA09157@ipro.ad.jp> <199801070403.NAA01702@powdermilk.jah.ne.jp> MIME-Version: 1.0 Content-Type: text/plain; charset=ISO-2022-JP Content-Transfer-Encoding: 7bit X-Mailer: Becky! ver 1.23 Status: RO インターネット・プロの青野です。お世話になっております。 >>Received: by cosmo.jah.ne.jp for yusuke >>(with Cubic Circle's cucipop (v1.21 1997/08/10) Fri Nov 21 16:18:11 1997) Received: from excalibur.prohosting.com (www@excalibur.shadowlink.net [207.201.91.14]) >>by po.jah.ne.jp (8.8.7+2.7Wbeta7/3.6Wbeta6-jahgw97100111) with ESMTP id GAA09676 for >>by excalibur.prohosting.com (8.8.7/8.8.5) id PAA04425; Thu, 20 Nov 1997 15:02:08 -0700 (MST) >>Message-Id: <199711202202.PAA04425@excalibur.prohosting.com> Subject: Hello!! >>From: devil@hell.com >>Date: Thu, 20 Nov 1997 15:02:08 -0700 (MST) Content-Type: text/plane >>Content-Transfer-Encoding: 7bit >>X-From_: devil@hell.com Fri Nov 21 06:56:30 1997 >接続拒否の制限をかけてから以降も以下のように送られてきております。 (sendmailのログからの抽出です) >syslog.7:Dec 30 11:54:58 cosmo.jah.ne.jp sendmail[6404]: LAA06404: ruleset=check_mail, arg1= これらは >Message-Id: <199711202202.PAA04425@excalibur.prohosting.com> から見る限り、prohosting.comの問題ではないでしょうか? ポンポンネットのサーバーから送られたものではないと思います。 >これらのメイルもユーザwwwからですので、CGIから送られてきているのでは ないかと思いますが、もし何か分かりましたら、情報をおよせください。 これはそうとは言いきれないのでは? >| JPCERTにも以下のような事が原因だった事をお伝えください。 | 今回のMAIL BOMBの手口 >| ある手口を使ってパスワードファイルを改竄 | シェルを使用できるアカウントを不正に作成 >パスワードファイルの改竄、アカウントの作成が可能であったという のは、重大なセキュリティホールだと思うのですが、その点は十分に 対策されたと考えてよろしいのでしょうか。 対策も先日のメールで述べたとおりに行いました。 以上 >From sayaka@powdermilk.jah.ne.jp Wed Jan 7 17:39:46 1998 Received: from powdermilk.jah.ne.jp (powdermilk.jah.ne.jp [202.229.108.30]) by ppn1.ppn.ne.jp (8.8.5/3.5Wpl5) with ESMTP id RAA06458 for by powdermilk.jah.ne.jp (8.8.7+2.7Wbeta7/3.6Wbeta6-jahleaf97101416) id RAA07328; Wed, 7 Jan 1998 17:41:55 +0900 (JST) Message-Id: <199801070841.RAA07328@powdermilk.jah.ne.jp> To: aono@ipro.ad.jp Cc: postmaster@po.jah.ne.jp, info@ppn.ne.jp Subject: Re: Re[2]: Re[2]: E-MAIL BOMBING From: SHIBATA Hiroyuki Content-Type: Text/Plain; charset=iso-2022-jp Content-Transfer-Encoding: 7bit Date: Wed, 07 Jan 1998 17:41:54 +0900 Sender: sayaka@powdermilk.jah.ne.jp いつもお世話になっております、InternetJAHの柴田です Shinichi Aono Wed, 7 Jan 1998 17:24:37 +0900 (JST)に出した 「Re[2]: Re[2]: E-MAIL BOMBING」 にはこう書かれています: | これらは | >Message-Id: <199711202202.PAA04425@excalibur.prohosting.com> | から見る限り、prohosting.comの問題ではないでしょうか? | ポンポンネットのサーバーから送られたものではないと思います。 ですから、 | > これらのメイルもユーザwwwからですので、CGIから送られてきているのでは | > ないかと思いますが、もし何か分かりましたら、情報をおよせください。 prohosting.comのCGIから送られて来ているのではないか、と推測して おります。御説明が足りなく、申し訳御座いませんでした。誤解を招いて しまったようです。 直接ppn.ne.jpより送られたかどうかをお聞きしているわけではなく (もちろんそのような記録が残っていればお知らせ頂きたいわけですが) 今回原因となったppn.ne.jpのユーザに対して事情を聞き、もし、 prohosting.comからのメイルも同一人物が出したものであれば教えて 頂きたい、と思い、上記のように書きました。 当該ppn.ne.jpのユーザがprohosting.comよりレンタルサーバサービスを 受け、prohosting.com上のCGIスクリプトを編集できる権限を持っていれば prohosting.comとppn.ne.jpの両方からメイルを送っていた、という可能性 は0ではないでしょう。 prohostong.comに関しては、ppn.ne.jp様のようにうまくコミュニケーション が取れているわけではなく、解決が難しくなっておりまして、少しでもお力を お借り出来れば有難いと思い、情報提供のお願いをした次第です。 そういった意味では青野様ではなく、ppn.ne.jpの責任者の方にお聞きして いると言っても良いのかもしれませんが、私には青野様とppn.ne.jpの責任者 の方の責任範囲がいまひとつ明確ではない為、青野様宛のメイルにてお聞き しております。(Cc:で | 対策も先日のメールで述べたとおりに行いました。 承知しました。 -- コスモメディア株式会社 柴田浩幸 >From aono@ipro.ad.jp Wed Jan 7 20:40:52 1998 Received: from ipro.ad.jp (zapper.ipro.ad.jp [203.179.1.2]) by ppn1.ppn.ne.jp (8.8.5/3.5Wpl5) with ESMTP id UAA09767 for Received: from Magi3.ipro.ad.jp (ipc-pc012.ipro.ad.jp [203.179.1.22]) by ipro.ad.jp (8.8.7/3.5Wpl7) with SMTP id UAA19229; Wed, 7 Jan 1998 20:41:42 +0900 (JST) Date: Wed, 7 Jan 1998 20:41:42 +0900 (JST) Message-Id: <199801071141.UAA19229@ipro.ad.jp> From: Shinichi Aono To: SHIBATA Hiroyuki Subject: Re[2]: Re[2]: Re[2]: E-MAIL BOMBING In-Reply-To: <199801070841.RAA07328@powdermilk.jah.ne.jp> References: <199801070824.RAA16914@ipro.ad.jp> <199801070841.RAA07328@powdermilk.jah.ne.jp> MIME-Version: 1.0 Content-Type: text/plain; charset=ISO-2022-JP Content-Transfer-Encoding: 7bit X-Mailer: Becky! ver 1.23 インターネット・プロの青野ですお世話になっております。 >prohosting.comのCGIから送られて来ているのではないか、と推測して おります。御説明が足りなく、申し訳御座いませんでした。誤解を招いて しまったようです。 >直接ppn.ne.jpより送られたかどうかをお聞きしているわけではなく (もちろんそのような記録が残っていればお知らせ頂きたいわけですが) 今回原因となったppn.ne.jpのユーザに対して事情を聞き、もし、 prohosting.comからのメイルも同一人物が出したものであれば教えて 頂きたい、と思い、上記のように書きました。 >当該ppn.ne.jpのユーザがprohosting.comよりレンタルサーバサービスを 受け、prohosting.com上のCGIスクリプトを編集できる権限を持っていれば prohosting.comとppn.ne.jpの両方からメイルを送っていた、という可能性 は0ではないでしょう。 >prohostong.comに関しては、ppn.ne.jp様のようにうまくコミュニケーション が取れているわけではなく、解決が難しくなっておりまして、少しでもお力を お借り出来れば有難いと思い、情報提供のお願いをした次第です。 >そういった意味では青野様ではなく、ppn.ne.jpの責任者の方にお聞きして いると言っても良いのかもしれませんが、私には青野様とppn.ne.jpの責任者 の方の責任範囲がいまひとつ明確ではない為、青野様宛のメイルにてお聞き しております。(Cc:で 上記の内容は理解致しました。 責任問題がどこかという問題に関しては私もどうこう言えませんが、弊社も一プ ロバイダー(企業)として、お客様が困っていればお助けするのが当然ですし、 同じネットワークを運営するものとして、今回のような悪業をほっておく分けに はいきません。ですから私の意志としても徹底的に追求して2度とこのような事を 行わせないようにしたいとは思っております。 しかしながら、運営している企業はあくまでもポンポンネット様ですので弊社で はユーザーに電話をかけて問い詰めたり、弊社からメールを出したりできないこ とは分かっていただけると思います。 弊社もメールサービス等を行っておりますのでSPAMメールには悩まされまし た。技術的な対処はできても対処する前に一度被害を被っているわけですから何 としてもユザーを追及し、ユザーに謝罪してもらうべく、メールのヘッダからメー ルを出したホストや、中継サーバをたどってゆき、最終的な接続プロバイダにユ ザーの開示を求めたところ、その接続プロバイダが発行しているお試しキャンペー ンのアカウントで最終的にはユザーを追求することはできませんでした。 ですから御社のお気持ちも良く理解できます。 今回の場合は、ログから犯人ではないかと思われるユザーアカウントは分かりま したのでポンポンネット様には伝えてあります。もちろんユザーに問い詰めてほ しいということも伝えてあります。ポンポンネット様からは「メールを出します」 との答えでしたので、「電話番号まで分かっているのですから、直接電話で問い 詰めるように」とも言ってあります。 もちろんポンポンネット様にも色々と事情はありますでしょうから回答のレスポ ンスについては私からは何ともいえません。 私青野が、メール等に答える事が、柴田を混乱させる原因となっているのかも知 れませんが、 私はポンポンネット様の事情も知っておりますし、柴田様からポ ンポンネット様の印象が悪くなるのも困りますので、あえてこのようにできるだ け、できる範囲でメールにお返事をさせていただいております。 確かにセキュリティー面ではポンポンネット様のサーバーに問題があったと思い ます。しかし、全てのサーバー管理者、ネットワーク運営者が柴田様の様に知識 を備え早急に問題を解決することができれば今回の様な事はなかったのかもしれ ませんがインターネットの世界ではそのような分けにはいかないと思います。 弊社としても弊社の運営するサーバーやネットワーク以外管理することは不可能 ですし、今後も今回ような問題は十分に起こりうると思います。 憎むところは、悪行を行ったもので、望むところは各サーバーやネットワークを 管理している者が善意であることと、その者の技術の向上だとおもいます。 ポンポンネット様からはきっとユザーを問い詰めた結果のメールが帰ってくると 思いますし、今回のことによりネットワーク、サーバー管理の難しさも十分理解 し、更なる技術の向上に努めて頂けるものと私は思っております。 ご迷惑をおかけしたと思いますが、私自信にできることはここまでです。 今後もポンポンネット、ならびにインターネット・プロをよろしくお願いいたし ます。 |
禁無断転載
怪文書保存館TOP