利用者:奥さん米屋です
| ||
| ||
| ||
| ||
| ||
| ||
|
1年ほど前の夏頃からIPユーザーとして散発的に幾つかの記事の追記や作成を行っていましたが、Wikipediaにもある程度慣れてきたような気がするのでアカウントを取得しました。
ユーザー名には暗に不適切な意味を含む意図はなく、とあるコミックソングに由来します。 …ということにしておいてください。
※米穀店を生業とはしておりません。
新規作成した記事
[編集](IPユーザー時代を含む)
ある程度まとまった量を追記した記事
[編集](IPユーザー時代を含む)
Wikipediaへのログイン後にポートスキャンやDoSが再開される問題
[編集]Wikipediaへのアクセス後、執拗なポートスキャンおよび侵入(侵入未遂も含む)を受ける問題、および攻撃発生後に当方のIPを変更してもWikipeidaにログインする度に攻撃が再開する(有り体に言えば、IPの移動を追跡できる立場の人物に攻撃されている、乃至は攻撃者に情報提供しているのではないか)という問題に関するメモ。
メモ
[編集]状況および観察
[編集]- 該当ノート上での係争勃発以降、ノートの編集履歴上に不本意な形(ログインせずに投稿)で利用時のIPを不特定多数に対して晒してしまったのは、2007年2月10日 (土) 11:44の一件のみである。
- 攻撃を認識して以後、当方では数回に渡りIPを移動するが、その後Wikipediaに接続する度、一般ユーザーでは知り得ない筈の新IPに対し数十分~数時間以内に攻撃が再開される。
- 無作為に選択したIPへの侵入を試みる侵入者に偶然遭遇した可能性や、Wikipedia以外の各種サービス等に利用したIPが流用されている可能性などを考慮し、IPの移動を行った後連続して最大24時間Wikipeidaに接続せずに状況の推移の観察を三度行ったが、この際は三回とも攻撃の再開は無かった。
- 上記観察期間の経過後、Wikipediaにログインして投稿を行ったが、三回ともWikipediaへのログインから2時間以内、投稿から40分以内に攻撃が再開されている。
- ログインのみ行い投稿はしなかった場合でも、IPの移動後Wikipeidaへのログインから攻撃が再開されている。
- 14日夜、該当ノート上で、移動先IPを知り得る立場の一つとしてWikipeida管理者の関与を疑っている旨告知した際には、投稿から15分程で攻撃が一時中断した。
- 14日夜にノート上で揺さぶりをかけ攻撃が一時中断した後、一転して攻撃者が増加し、国内プロバイダの管理IPからの攻撃はなくなり、海外のものに切り替えられた。また頻度も大幅に増加し、常に4~7箇所程度から毎時2千~3万回前後のDoSと呼べる状況に推移した。
- 17日から18日にかけてハニーポットを設置したところ、海外IPの攻撃者がここに実際に侵入した。
- 23日に当メモを記述後にIPを移動し、26日夜までWikipediaへの接続のみを絶って状況の推移を観察した(都合4回目)が、その間の攻撃の再開は無かった。
追記 05/01
- 一連の攻撃者のうち、一部については該当リモートホストを管理する海外のプロバイダ(非常に協力的で助かりました)との折衝の末、攻撃者が経由していた国内へ至る経路まで調べていただいてログの取得に成功。当方のアクセス記録および提供された記録を提示し、国内プロバイダ(海外IP/flood攻撃に切り替わる前の執拗なスキャン魔と同一ISP・同一地域)に攻撃者の情報開示を要求するものの、侵入(システム破壊未遂)当事者ではないとして開示を拒否される。共犯は見逃せってか…
- 侵入(システム破壊未遂)犯については、攻撃者の管理ISP(上記とは別企業、別国籍)へ再三に渡り情報提供を依頼するが、英語と現地語を併記してメールしても梨の礫。日本(人)に非協力的なのはお国柄ってやつですか。これで自称ネット先進国とは恐れ入る…
- 2チャンネルMac板において一連の騒動を「監視」するスレッドが存在し、投稿者およびその他複数のApple信者が共謀して事態に当たっていたことが判明。WikipediaのAppleおよびMacに関連する記事は、Apple信者によって監視され、都合の悪い記事は事実であれ排除され、捏造された実績によって粉飾されているという動かぬ証拠。Wikipediaの記事に対するApple信者の侵入と汚染を監視する何らかの対策が、Wikipeida側で必要かもしれない。
- 2ヶ月ぶりのログインおよび投稿後、71分で攻撃再開。2ヶ月の間何もなかった攻撃が、Wikipediaに復帰した途端に再開だよ。Wikipeidaへのログイン/投稿が攻撃のトリガーになっていることは、これもう明白ですなあ。しかも非協力的な韓国のISPのIPから。心性腐り切ってやがるなぁApple信者め。
接続条件など
[編集]- 攻撃の開始以後、Wikipeidaに非ログイン状態で投稿を行ったことは無い。
- 不注意から編集履歴に残ってしまったIPは以後再利用しておらず、移動後のIPも以前のIPとは連続していない。
- DDNS等を用いたサーバなどは運用していない。
推論・仮定
[編集]- 一連の攻撃は、ある記事のノート上の係争の勃発と同時に発生し、当方の不注意によって編集履歴に残ったIPに対して開始されたものと考えられる。(心当たりが他に無い)
- 一連の攻撃は、当方のIP移動後は一時的に沈静化するものの、Wikipeidaにログイン・投稿する度に新たなIPに対して再開されているように「見える」。
- 移動先IPについては以前のIPと連続していないため、同一プロバイダ内といえど移動先IPの単純な類推は困難と考えられる。
- DDNS等の動的割り当てが行われるIPに対する恒常的な追跡手段は利用していないため、Wikipedia以外の他のサービス等から追跡される可能性は考慮し難い。
- 少なくとも一般のWikipediaの利用者がログインユーザーの接続時のIPを知る手段は、Wikipediaの機能としては(少なくとも表向きは)存在しない。にも関わらずWikipediaにログインした当方の接続IPを知り得る手段として考えられるものは何であろうか?
- 上記から、Wikipeidaの管理者が一連の攻撃に関与している、乃至は別の攻撃者に情報提供を行っている可能性が考えられる。
- このような状態を招くまでWikipeidaの管理者に恨みを買っている可能性と、恨みを買った管理者がこのような粗暴な手段に関与する可能性が両立することは考え難いと思っていたが、Wikipedia:投稿ブロック依頼/Gerberaにおける利用者:NiKeの発言は興味深い。利用者:NiKeが同一プロバイダのユーザーを追跡し続けていた事実(利用者:NiKeの指摘そのものは飛躍が大きすぎて濡れ衣でしかない)を告白しており、少なくとも特定のログインユーザーを数ヶ月以上にわたって追跡調査する能力のある管理者の存在と、当方に興味を持って(私怨を抱いて)追跡していた管理者の存在が両立することは、ほぼ間違いないものと考えられる。
- 過去4回にわたり、Wikipediaへの投稿後にIPを移動し24~40時間程度Wikipediaへの接続を停止(ルータ上で*.wikipedia.orgへの接続を遮断、他のサイトやサービスは平常通り利用)して状況の推移を観察した限り、いずれも観察期間終了後にWikipediaにログイン/投稿を行うまで攻撃の再開は見られなかった。従って攻撃者は当方のWikipediaへのログインないし投稿記録から、少なくとも一般の利用者では知ることのできない接続IP等の情報を得ている可能性は極めて高いと考えざるを得ない。
- 18日の不正アクセス者は、侵入後バックドアの組み込み等を試行するが、失敗を悟った後はシステムの破壊を試みている。この状況は侵入し易い状況を作って待ち受けていたことで成立したものであるが、緩いといえどセキュリティを破って実際に侵入した上で破壊を試行している記録があるため、不正アクセスとしての立件は可能との判断。
- 攻撃者の目的は、自分のWikipeida上における(攻撃者や協力者にとって)面白くない言動への報復(最も単純で粗暴な攻撃者であった場合)、ないしは自分がWikipediaを利用すると攻撃されるという状況を作りWikipeidaの利用を避けさせる(因果関係を類推するとWikipeidaそのものが疑われるという背景を考えられない攻撃者?)、といったもので、DoS以上の示威行動はまず起こさないであろうと高を括って対峙し推移を観察していたが、隙を作れば実際に侵入しシステムの破壊まで試みる攻撃者であることが判明したため、観察の継続は危険が大きすぎると判断せざるを得ない。
05/01 追記
- 攻撃者の少なくとも一部については、国内(ノート上で揺さぶる前)および海外(揺さぶり後)の踏み台を経由して当方への攻撃を行っていることが記録から判明している。また複数のリモートホストからの攻撃がほぼ一斉に開始・停止される状況が観察されていることから、一連の攻撃は単一の攻撃者ないし単一の指揮系統から行われていることは明らかであり、そのうちの少なくとも一部が日本国内の大手ISPの利用者であることも判明している。以上から、一連の攻撃は日本在住者、概ね日本人によるものと考えて概ね間違いないものと思われ、また攻撃と侵入未遂および侵入(システム破壊未遂)が同時に行われた状況からは、単純な踏み台の開拓確保などといった自動化されたロボットなどによる偶発的な侵入事件とは性質を異にする、明らかに当方の妨害ないし示威を指向する活動と判断できる。この件で思い当たる節は、wikipedia上のApple支持者との係争以外にない。
- 日本のWikipediaの管理者(の一部)が、2月中旬の時点で、記事:無線LANの利用者に対して少なくとも関心を向け、利用プロバイダに言及したIRCのログをいただいた。もっとも、匿名でこんなもんいただいたところで、これだけだと担がれてる可能性も否定はできんのですが。まあこんなログなんか無くても、一般ユーザーでは知る手段のないログインユーザーのIP漏らせるとしたらWikipedia管理者しかいないよね、ってのも推論としては妥当なわけで、疑惑の目は当然そちらに向きますわなぁ…。
概要
[編集]stub
WikiepdiaのAppleおよびMacに関連する記事が複数の偏執的なApple支持者たちによって汚染されている問題
[編集]2chには以下のような、Apple支持者(信者)にとって都合の悪い記事を「監視」し、自らに都合のよい記述であり続けるべく共謀し記事を汚染する利用者が組織的に活動している痕跡がある。wikipediaのMac,Apple関連項目を監視するっす
少なくとも現在のWikipeidaのAppleに関連する記事は、Apple支持者(の一部に過ぎないと信じたいが)によって汚染され、信頼性に疑問をつけざるを得ないことだけは確かなようだ。 彼らの対策や、このような組織的な記事の汚染が行われているという事実を広く知らしめることは、Wikipediaの記事の信頼性を回復するために避けて通ることのできない問題であり、また彼らの性質を考慮するなら一夕やそこらで片のつく問題ではないことも明らかだ。(なにしろ、都合の悪い事実を提示する相手には手段を選ばない連中だし) いずれにしろ、本格的な活動は一連の問題が決着した後の作業になるだろう。
stub