郵便による物理的DoS攻撃 82
ストーリー by Oliver
ビジランテ 部門より
ビジランテ 部門より
k3c 曰く、 "本家記事より。Crypto-Gramの記事で、Bruce Schneier氏が郵便を使ったDoS攻撃が可能であることを紹介している(元の論文(PDF))。検索エンジンなどで通販カタログなどの郵便送付サービスの申込Webページを見つけ出し(実際にそういうサービスはたくさんあるのはみなさん御承知の通り)、それに住所氏名年齢などを記入する簡単なスクリプトを書いて動かすことで、特定の誰かの家に郵便を大量に届け、日常生活を麻痺させることができる、というもの。
この攻撃のすごいところは、全ての工程を自動化できること、誰がこの行為をやったのか全く分からなくすることが可能(無線LANフリースポットなど)なこと、被害者が配達を止めるには非常に時間と手間がかかるということだ。spamならフィルタリングなどである程度防げるが、郵便は止めようにも止められない、というのがミソ。
元の論文ではフォームのフィールド名を分かりにくいものに変更する、検索エンジンからのアクセスを禁止する、テキストイメージや簡単なパズルを表示してフォームに記入させる、セッション管理を導入する、などの対策が提案されているが、そもそも業者がそういうものを導入してフォームに記入するのを難しくするとは思えない、とSchneier氏は述べている。…自分の家の郵便受けが通販カタログやDMで溢れかえっている状況は想像するだけで恐ろしい…。"
元となった事件はspamで巨富を築き、次から次へと悪質なspamの方法を提案している極悪人へのインタビューが本家で紹介された際に、誰がどうやって調べたか、その人の住所氏名が本家に晒され、直後からダイレクトメール漬けになったというもの。
すぱむ怖い。 (スコア:2, 参考になる)
良いオチですな
なんとなく寓話っぽくてステキ
# 教訓:spamは天に向かってつば吐くようなものです。
自業自得ってやつ? (スコア:2, おもしろおかしい)
spamで巨富
↓
(゚Д゚)ウマー
↓
DMのDoS攻撃
↓
(゚д゚)マズー
↓
...と思いきや
↓
(DoS攻撃で勝手に出してくれた)懸賞が当たりまくりで
↓
やっぱり(゚Д゚)ウマー
だったりして。
自動化している処理では、懸賞のサイトや景品や粗品がもらえるサイトをはじいているんだろうか?
構造を考えると (スコア:1, 興味深い)
電話や郵便の場合通信を処理するのが人間なので、これをサーバ(兼クライアント)と見立てると、非常に耐久力の弱い(しかも他用途にも利用せざるを得ない)サーバと言えるので、ここを突かれるとDoSにまで至らない攻撃(ちょっとS/N比を下げられただけ)でもかなり痛いですね。
攻撃者がそういう発想で攻撃してくる以上、ローテクな通信にもフィルタリングを行うシステム(が無理だとしても、せめて一時的に通信を停止するシステム)が必要なのかもしれません。
# 電話の発信元通知を必須にする機能などがこれに当たるでしょうが
# まだまだ機能不足でしょうし、ビジネスに利用している通信では
# フィルタリングそのものが現実的でないという問題がありますが。
# 個人なら住所や電話番号などをできるだけ露出させないというのも
# 対策になるでしょうが、会社だとそうも行かない場合がありますし。
郵便の場合の対策としては、DMの類いにはあて名にDMと明記することを義務付けて配達前に破棄できるようにするとか、書留以外の郵便を送信者に差し戻すオプションを設けるとか、そういったところでしょうか。
# でもそれで郵便料金上がったら嫌だなぁ
### ID持ってないのでAC ###
Re:構造を考えると (スコア:1, 興味深い)
受信者がもともと請求した(ことになっている)資料(="郵便物")なので、
フィルタリングするのもかなり難しいような。
「子供がやるような」とか「オトナはやらない」とか言うのは簡単だけど、
いざこれを「脆弱性」と考えると、ホントに有効な回避方法無いですよね。あな恐ろしや。
Re:おふとぴ (スコア:1)
「分別のない大人」と呼ばず「大人になれない子供」と呼ぶのは
“そんなヤツもいつか大人の分別を身につける時が来る”と期待
してのことなんですよね。
その期待も持てない時代になってきたのかなあ……。
Re:構造を考えると (スコア:1)
受取り休止登録サービスってのをやってはいます.
どの程度の有効性があるかどうかは,やったことないからわからないけど.
http://www.jdma.or.jp/mps/mps2.htm [jdma.or.jp]
Re:構造を考えると (スコア:0)
単純に受け取りたくない郵便物なら、(受取拒否と明記して?)ポストに入れればいい、と思ったのですが。
ただし根本的な解決にはなりませんが。
#DMは「要らなければ捨てればいい」ので、日本郵政公社的に、切手代を(送信者に)払ってもらえれば、受信者のことなんてどうでもよかったり。
お金が動くと更にやばい (スコア:1)
ニセカード使えば請求書まで送りつけさせることができるからなあ。
警察が出張ってくればそれなりに対処できるが、警察抜きでの解決法って何かあるかなあ。
Re:構造を考えると (スコア:1)
自分が本当に必要なものは私書箱なりに郵送してもらえば、
自分の家に届いたものはすべて破棄OKですよね(^_^;)
まぁ、何にしろ手間とお金はかかりますが(^_^;)
というか、こんなことが流行ったらDM業者もウハウハだし(笑)
アパッチ (スコア:1)
違法古紙回収業者にこれをやれば大喜びされるのでは?
すらどでも (スコア:1)
/.-Jでも、ソニーテシオ氏 [tekipaki.jp]にインタビューしたい、って話なかったっけ。
てか、最近ほとぼりも冷めてきたし(?)、話を聞かせてもらうにはいい頃かも。
ダイレクトスパムフィルタ (スコア:1)
# ま、なかなかそうできない人も多いかもしれないけどね。
# 数百通の DM を停止させるコストよりも安いかも。
海外の DM サイトでは、まとめていろいろな DM を一括申請で
きるような所もあって5年くらい前にオンラインショップの状況
調査も兼ねて使っていました。
住所はもちろん前の勤務先(^^;。
きっとまだ届いているのかも...
たくましい人なら、山のような DM で並行輸入とか、安値紹介
サイトとか、DM コンサルとかのビジネスにしてしまうのだろう
ね。
スパム防止法 (スコア:1)
あちらで、スパム防止法制定の動きがあるようですが、
このような、物理的なスパムに対しても有効なんでしょうか?
後々痛い攻撃 (スコア:1, すばらしい洞察)
訂正 (スコア:1)
お名前は Bruce Schneier 氏の間違いでした。訂正してお詫びします。気づいた編集者の方、修正お願いします。
というか (スコア:0)
Re:というか (スコア:2, 興味深い)
で、発想や技術的な面で拙くとも、狙われたら防御のしようもないし、そもそも予防できるモノでもないと思われるのが、なおさら恐ろしく。
なんか対策はありますかね?
あ、タレコミにもかかれている通り、サーバや業者の側の対応は期待できそうにないので、一市民の側としての防衛策、と云うことなんですが…
#私の頭では「やられたら引っ越す」くらいしか思いつけず…
-+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
Re:というか (スコア:2, すばらしい洞察)
発想は昔からあるかもしれませんが、
なわけでして、言ってみれば、寿司屋の出前のイヤガラセを
やるためには電話帳で寿司屋を1件1件調べないといけない
わけでして、あげく電話して注文せにゃらなんわけですな。
結婚相談所のハガキ書くにしても各会社のハガキ集めてきても
微妙に住所や電話番号書く欄は違う場所にあるわけですな。
やっぱ、キーワードは「自動化」でしょう。
このキーワードのおかげで従来では考えられないような規模の
イヤガラセが可能になったってことで新しいってこと
なんでしょうね。やる方とやられる方のコストの差が
圧倒的に広がったという言い方が適切なのかな?
(これは spam でよく言われる言い回しそのものですが)
#とりあえず、トンデモサイエンス系浄水器なんかの
#資料請求させられてそっち系のリストに名前載ったら
#似非健康促進グッズ販売系からガンガン電話かかって
#きそうだなぁ...
Kiyotan
Re:というか (スコア:1)
Web は Web で独立して情報を提供し、実コストのかかる資料請求は電話で、という形に自然と落ち着くんじゃないかと思う。
単に配ればいい、と考えている Y!BB みたいなトコとカンチガイ資本が合体したりなんかした場合は始末におえませんが…。
Only Jav^Hpanese available :-)
自動化できないところ (スコア:1)
ここは手動でやらないと。
最近はDM業者もコスト意識がありますから(だから電子メールを使うわけで・・・)、名寄せしているところも多いです。同じサイトから何度も同じ住所へ送ってもらうということは難しくなってきていますから、たくさんサイトを探すか、数少ないSPAMできるサイトを探すかって手作業が残ります。
Re:自動化できないところ (スコア:4, 参考になる)
Googleで「資料 請求 (氏名 OR 名前 OR なまえ) (〒 OR 郵便) (住所 OR 都道府県 OR 市町村)」の結果が200000
うち80%にFORMがある
うち50%が個人対象and無償
うち5%が自動入力できる
うち80%が存続している会社・サービス
=3200が有効
3200通かぁ、郵便としては多いですけど、DOSレベルと言えるのかは、どのくらい継続して送られてくるかですよね。目的としてはDOSとして郵便ポストを機能停止させることよりも、精神的なダメージを与えることが主目的なのかな。それって無言電話と同じだから犯罪扱いできますよね。
個人的には郵便が届くことより、電話番号掛かれて電話攻撃される方が痛いですね。携帯番号を書かれた日には営業電話が毎日かかってくる訳でしょ。
こんな手法が横行したら、まっとうな会社はコスト的に対策(フリーメールによくある画像英数字を見て入力させる仕組みなど)打ってくると思われますので今だけ有効なものかな。某雑誌などにツールとセットで載ったら、駆け込み攻撃が増えるかも。
Re:というか (スコア:0)
でも入力フォームはサイトでまちまちだし、
(一箇所に大量注文したら警戒される?)
いちいち作ってる間に空しくならないんだろうか?
Re:というか (スコア:2, すばらしい洞察)
そもそも、検索すればいくらでもフォームを見つけられる訳で、読めないIDを付けたりという作り方をしているところは、利用せず無視すればいいと云うだけのこと。
そういう「使えるフォームの検索」から「フォームへの書き込み・送信」までを全部自動化できるという現実があるから、騒動になるのであり、他のコメントにもあるように「防ぎようがないのでは?」というハナシのなるのでしょう。
ソレと、こんな手の込んだ嫌がらせをするような精神状態の時、空しくなることはないと思いますよ。
そのことに気づいていても、気づかなかったことにして突き進むような精神状態になっているでしょうし、そもそも、相手に明確な実害を与えられることがはっきりしている、つまり、徒労に終わる訳ではない、と云う意志が働くのでしょうし。
#この場合、嫌がらせ自体が空しい行為であるという常識は通用しません。
-+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
Re:というか (スコア:2, すばらしい洞察)
悪戯ならそうかもしれないが、嫌がらせならむしろ燃えるんじゃないだろうか。
そういう事に燃えそうな奴がする嫌がらせにふさわしい、つーかそういう奴でないとこういう嫌がらせはしない?
偏見、入ってる?
伝統的DOSアタック (スコア:0)
一方、郵便物は1件1件はたいしたイヤガラセにならないけど、寿司屋の出前は1件だけでも面倒で、数件だけで相手の精神を参らせるのに十分な威力を発揮してしまい、DOSと
コストの問題 (スコア:1)
この手のセキュリティーホールを埋めるコスト>セキュリティーホールによる損害
の関係が成立していた所も多いですから。
そのため、あえて埋めない方が社会全体として得だったわけです。
ところが、最近はグローバル化や犯罪増加で、そうとも言えなくなってきたので、セキュリティーとかを強化し始めたのではないかと。
あと、海外に比べると日本社会自体が犯罪なれ(?)していないのもあるかも。
Re:伝統的DOSアタック (スコア:1, すばらしい洞察)
Re:伝統的DOSアタック (スコア:1)
Denial of Stomach っすか?
和訳:(文字通り)おなかいっぱい…?
#がきのころ食べ物は粗末にしちゃいけないと教えられたせいか最近肥満になってしまったのでG7
いずれにせよDoSは嫌ですね。それがオフライン実体を伴った贈り物なら尚更。
逆にいえば電子データでしかない通常(?)のDoSのほうがまだしも気楽、という面もあるが。
----
そういや、電子メールにSpamFilterがアリなのに、生メールのほうにどうして無いんでしょうね?
ん?個人や法人への生メールをフィルタする業者っていう職業が存在し得るということか?
あ、従来から企業内とかには存在したんでしたね。
個人でも使えるほどフィルタのコストが安いのが電子メールだというわけか。
DoSをしかけるほうのコストも安いが、防ぐ側もそこそこ安いんで、バランス取れてるぞと。
で、今回の話の問題点は、この攻守のパワーバランスが崩れちゃうぞ、という点なのかなーと。
Re:伝統的DOSアタック (スコア:3, 興味深い)
「初めての家」かつ「大量注文」の場合は、確認します。
「お得意さん」かつ「大量注文」かつ「普段と違う注文」の場合も確認します。
で、怪しい注文が2-3回続くと組合のほうに連絡が行って、
注文があっても出前に行かなくなります。
「1個くらいの注文なら、しょうがないねー」って感じです。
ゴルゴ13 (スコア:2, 興味深い)
ゴルゴに依頼をするルートの1つとして、某所に郵便を出すというのがあるんですが、そのルートを潰そうとたくらんだ人が、
「この住所には、不治の病で寝たきりになった子が住んでいる。絵ハガキを出してはげましてあげよう」
と世界中で宣伝すると、その住所にいっぱい絵ハガキが届いてしまうという話。以後はネタばれになるので書きません。
これはDDoS攻撃の一種か?
となると鬼太郎も? (スコア:1)
それはさておき、攻撃じゃないのだけど某展示会で(販促グッズ欲しさに(笑))名刺を渡したところご丁寧にも数年に渡ってず~~っとDMやらカタログやらを送りつけてくる業者もおられます。月1くらいだから邪魔にこそなりませんが、そこって大型業務製品がメインなのでうちあたりの個人事業だと注文することはまず無いんだよなあ。かえって予算使わせて申し訳ないくらいですが、こちらがカタログ等を要求して送ってもらっているわけではないのでなんともはや。
Re:というか (スコア:0)
それをしないのが大人ってもんだ。もちろん子供もやってはいかんが。
Re:というか (スコア:2, おもしろおかしい)
とりあえず新入社員の名前で申し込んであげたりする、屈折した可愛がり方をする
先輩方は世の中にはごまんといるのでは?(笑)
李 露星
Re:というか (スコア:1, 参考になる)
その頃は結婚相談所は今みたいにブイブイやってなかったんで、吉原界隈の某店のVIP会員入会資料ってのが会社に私宛に届きました。
#動揺がばれたら負けってんで、そ知らぬ振りでそこに電話して「会社に送るなんて変だと思わないか」って聞いたら「接待用に良くある」って話で「なるほど」って思った覚えが。
オフトピ (スコア:1)
Re:というか (スコア:0)
確かに幼稚に見えるけど、「昔から存在する」ような「勝手にピザの注文」とかとはわけが違うような…
世の中には「ストーカー」なる連中もいるわけで、傍観はしていられないのかも。
Re:というか (スコア:0)
で、 (スコア:0)
東京都中央区銀座(一応自粛)
第2ウイングビル 3F
メールマガジン発行
の
電子メール広告社
(or さわやか広告社 or メール配信サービス or 新電子メール広告社 or モモコクラブ)には
いつDMが殺到するんだ( ゚Д゚)ゴルァ!!
Re:で、 (スコア:1)
控えたほうが良いでしょう。
# いま確認しましたがその住所は実在するようです。
しかし違法なメールを平気で送るような奴が本当の住所を?
sakura2k
Re:で、 (スコア:1)
いざとなったら、バイトごと切って終わり。
そのぐらいのことはするでしょうね。
Re:で、 (スコア:1, 参考になる)
メール自体は従って無い(試しに送り返したら不達で戻ってきた)から、住所もちょっと本物とは思えないんですけど。
Re:で、 (スコア:1)
小さなビルの場合はバッファオーバーフローと相成りまして、他のテナントさんに迷惑が掛かります。
というわけで狙ったところへきっちりと攻撃を成立させるのは難しいと思いますです。
Re: 自粛しても (スコア:1)
#県境の都内23区内在住の頃、「埼玉県XX市」や「千葉県XX市」でも、充分届いた。
#<DM対策でわざとそうアンケートに答えたことあり。当然宛先の住所もそのままで
まぁ、有名どころになれば、競走馬でも「北海道 (競走馬の名前)」だけで、厩舎に届いたという実話もあるし。
#今なら、同じように「たまちゃん」もソレが可能でしょう
/* Kachou Utumi
I'm Not Rich... */
ひょっとして… (スコア:0)
DM申し込み=懸賞応募
になっているサイトも結構あるので
こういうページ [dti.ne.jp]を見ていると、ひょっとすると
実はいろいろと自動的に「当たって」しまうのでは…?
#さあ、これが得なのか損なのか…
僕の場合 (スコア:0)
Re:出前DoSアタックは? (スコア:3, おもしろおかしい)
おかもちを持った兄ちゃん達が家の前に殺到してる光景を想像してしまいました。
対処方法は簡単 (スコア:1, 興味深い)
郵便・宅配によるDoS攻撃も、受付側が本人確認のために連絡先に確認eメールを
送るだけで、物理的被害は防げますね。
Re:対処方法は簡単 (スコア:1)
非通知では注文できません。としておけば問題はないかと。
Re:うちは、秘書が処理しますから... (スコア:1, おもしろおかしい)
Re:うちは、秘書が処理しますから... (スコア:1, おもしろおかしい)
いやそりゃもう、よく働く秘書です。声も綺麗だしね。
唯一の難点は、取った電話を取り次いでくれないことかな…
#「あなたのおかけになった電話は、お客様のご都合により…」なのでAC