パスワードを忘れた? アカウント作成
5511 story

郵便による物理的DoS攻撃 82

ストーリー by Oliver
ビジランテ 部門より

k3c 曰く、 "本家記事より。Crypto-Gramの記事で、Bruce Schneier氏が郵便を使ったDoS攻撃が可能であることを紹介している(元の論文(PDF))。検索エンジンなどで通販カタログなどの郵便送付サービスの申込Webページを見つけ出し(実際にそういうサービスはたくさんあるのはみなさん御承知の通り)、それに住所氏名年齢などを記入する簡単なスクリプトを書いて動かすことで、特定の誰かの家に郵便を大量に届け、日常生活を麻痺させることができる、というもの。
この攻撃のすごいところは、全ての工程を自動化できること、誰がこの行為をやったのか全く分からなくすることが可能(無線LANフリースポットなど)なこと、被害者が配達を止めるには非常に時間と手間がかかるということだ。spamならフィルタリングなどである程度防げるが、郵便は止めようにも止められない、というのがミソ。
元の論文ではフォームのフィールド名を分かりにくいものに変更する、検索エンジンからのアクセスを禁止する、テキストイメージや簡単なパズルを表示してフォームに記入させる、セッション管理を導入する、などの対策が提案されているが、そもそも業者がそういうものを導入してフォームに記入するのを難しくするとは思えない、とSchneier氏は述べている。…自分の家の郵便受けが通販カタログやDMで溢れかえっている状況は想像するだけで恐ろしい…。"

元となった事件はspamで巨富を築き、次から次へと悪質なspamの方法を提案している極悪人へのインタビューが本家で紹介された際に、誰がどうやって調べたか、その人の住所氏名が本家に晒され、直後からダイレクトメール漬けになったというもの。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • すぱむ怖い。 (スコア:2, 参考になる)

    by L.Nizah (7804) on 2003年04月17日 9時40分 (#299931)
    > spamで巨富の極悪人 ~ ダイレクトメール漬けになった

    良いオチですな
    なんとなく寓話っぽくてステキ

    # 教訓:spamは天に向かってつば吐くようなものです。
    • 自業自得ってやつ? (スコア:2, おもしろおかしい)

      by hix (3507) on 2003年04月17日 16時57分 (#300247) 日記
      でもさ、

      spamで巨富

      (゚Д゚)ウマー

      DMのDoS攻撃

      (゚д゚)マズー

      ...と思いきや

      (DoS攻撃で勝手に出してくれた)懸賞が当たりまくりで

      やっぱり(゚Д゚)ウマー

      だったりして。

      自動化している処理では、懸賞のサイトや景品や粗品がもらえるサイトをはじいているんだろうか?
      親コメント
  • by Anonymous Coward on 2003年04月17日 6時12分 (#299882)
    DoS攻撃⊃通信を殺到させる攻撃とすると、電話だろうがFaxだろうが郵便だろうがすべて対象になると。

    電話や郵便の場合通信を処理するのが人間なので、これをサーバ(兼クライアント)と見立てると、非常に耐久力の弱い(しかも他用途にも利用せざるを得ない)サーバと言えるので、ここを突かれるとDoSにまで至らない攻撃(ちょっとS/N比を下げられただけ)でもかなり痛いですね。

    攻撃者がそういう発想で攻撃してくる以上、ローテクな通信にもフィルタリングを行うシステム(が無理だとしても、せめて一時的に通信を停止するシステム)が必要なのかもしれません。

    # 電話の発信元通知を必須にする機能などがこれに当たるでしょうが
    # まだまだ機能不足でしょうし、ビジネスに利用している通信では
    # フィルタリングそのものが現実的でないという問題がありますが。

    # 個人なら住所や電話番号などをできるだけ露出させないというのも
    # 対策になるでしょうが、会社だとそうも行かない場合がありますし。

    郵便の場合の対策としては、DMの類いにはあて名にDMと明記することを義務付けて配達前に破棄できるようにするとか、書留以外の郵便を送信者に差し戻すオプションを設けるとか、そういったところでしょうか。

    # でもそれで郵便料金上がったら嫌だなぁ

    ### ID持ってないのでAC ###
    • by Anonymous Coward on 2003年04月17日 6時41分 (#299889)
      しかしこの攻撃の場合、大量に殺到するのは「DM」というよりは、
      受信者がもともと請求した(ことになっている)資料(="郵便物")なので、
      フィルタリングするのもかなり難しいような。

      「子供がやるような」とか「オトナはやらない」とか言うのは簡単だけど、
      いざこれを「脆弱性」と考えると、ホントに有効な回避方法無いですよね。あな恐ろしや。
      親コメント
    • 郵便の場合の対策としては
      かの国では知りませんが,日本だと『日本ダイレクト・メール協会』なるところが
      受取り休止登録サービスってのをやってはいます.
      どの程度の有効性があるかどうかは,やったことないからわからないけど.

      http://www.jdma.or.jp/mps/mps2.htm [jdma.or.jp]
      親コメント
    • by Anonymous Coward
      > 郵便の場合の対策としては、
      単純に受け取りたくない郵便物なら、(受取拒否と明記して?)ポストに入れればいい、と思ったのですが。
      ただし根本的な解決にはなりませんが。

      #DMは「要らなければ捨てればいい」ので、日本郵政公社的に、切手代を(送信者に)払ってもらえれば、受信者のことなんてどうでもよかったり。
      • これだと「着払いの注文」にも応用ができちゃうから気味が悪いよなあ。
        ニセカード使えば請求書まで送りつけさせることができるからなあ。

        警察が出張ってくればそれなりに対処できるが、警察抜きでの解決法って何かあるかなあ。
        親コメント
      • by nu-u (12312) on 2003年04月17日 10時17分 (#299953) 日記
        こんなのどうですかね?(^_^;)
        自分が本当に必要なものは私書箱なりに郵送してもらえば、
        自分の家に届いたものはすべて破棄OKですよね(^_^;)

        まぁ、何にしろ手間とお金はかかりますが(^_^;)
        というか、こんなことが流行ったらDM業者もウハウハだし(笑)
        親コメント
  • by trolin (5382) on 2003年04月17日 8時16分 (#299906) ホームページ 日記
    ちょっと前まで話題になっていた
    違法古紙回収業者にこれをやれば大喜びされるのでは?
  • by Anonymous Powered (12649) on 2003年04月17日 8時56分 (#299917) 日記
    >元となった事件はspamで巨富を築き

    /.-Jでも、ソニーテシオ氏 [tekipaki.jp]にインタビューしたい、って話なかったっけ。
    てか、最近ほとぼりも冷めてきたし(?)、話を聞かせてもらうにはいい頃かも。
  • 転居するというのはダメかい?

    # ま、なかなかそうできない人も多いかもしれないけどね。
    # 数百通の DM を停止させるコストよりも安いかも。

    海外の DM サイトでは、まとめていろいろな DM を一括申請で
    きるような所もあって5年くらい前にオンラインショップの状況
    調査も兼ねて使っていました。
    住所はもちろん前の勤務先(^^;。
    きっとまだ届いているのかも...

    たくましい人なら、山のような DM で並行輸入とか、安値紹介
    サイトとか、DM コンサルとかのビジネスにしてしまうのだろう
    ね。
  • by Umeboshi (15343) on 2003年04月17日 10時03分 (#299943)
    #299931には、全く同感ですね
    あちらで、スパム防止法制定の動きがあるようですが、
    このような、物理的なスパムに対しても有効なんでしょうか?
  • 後々痛い攻撃 (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2003年04月17日 10時25分 (#299963)
    この手の攻撃は一度やってしまうと ターゲットの住所氏名があちこちのDM業者に登録されてしまって 攻撃が終ったあともずっと DM到達量が増加したままになってしまうかもしれず、 そうなると犯人不在で長期的に被害を受け続けるところが恐い。
  • by k3c (4386) on 2003年04月17日 10時57分 (#299985) ホームページ 日記
    > Bruce Scheiner氏が郵便を使ったDoS攻撃が可能であることを紹介している

    お名前は Bruce Schneier 氏の間違いでした。訂正してお詫びします。気づいた編集者の方、修正お願いします。
  • by Anonymous Coward on 2003年04月17日 5時08分 (#299879)
    こんなのは誰でも思いつきそうな「ガキの嫌がらせ」とは思わんか。こんな発想は幼稚なので昔から存在するわけだが、あえてそのScheinerという人物で試してみるのも乙かと。
    • Re:というか (スコア:2, 興味深い)

      by kamuy (1690) on 2003年04月17日 5時52分 (#299880) ホームページ 日記
      正に馬鹿ガキの阿呆な思いつきを実現してしまったって感じですね。
      で、発想や技術的な面で拙くとも、狙われたら防御のしようもないし、そもそも予防できるモノでもないと思われるのが、なおさら恐ろしく。

      なんか対策はありますかね?
      あ、タレコミにもかかれている通り、サーバや業者の側の対応は期待できそうにないので、一市民の側としての防衛策、と云うことなんですが…

      #私の頭では「やられたら引っ越す」くらいしか思いつけず…
      --
      -+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
      親コメント
    • Re:というか (スコア:2, すばらしい洞察)

      by kiyotan (3912) on 2003年04月17日 7時05分 (#299894) 日記

      こんな発想は幼稚なので昔から存在するわ

      発想は昔からあるかもしれませんが、

      この攻撃のすごいところは、全ての工程を自動化できること

      なわけでして、言ってみれば、寿司屋の出前のイヤガラセを
      やるためには電話帳で寿司屋を1件1件調べないといけない
      わけでして、あげく電話して注文せにゃらなんわけですな。
      結婚相談所のハガキ書くにしても各会社のハガキ集めてきても
      微妙に住所や電話番号書く欄は違う場所にあるわけですな。
      やっぱ、キーワードは「自動化」でしょう。
      このキーワードのおかげで従来では考えられないような規模の
      イヤガラセが可能になったってことで新しいってこと
      なんでしょうね。やる方とやられる方のコストの差が
      圧倒的に広がったという言い方が適切なのかな?
      (これは spam でよく言われる言い回しそのものですが)

      #とりあえず、トンデモサイエンス系浄水器なんかの
      #資料請求させられてそっち系のリストに名前載ったら
      #似非健康促進グッズ販売系からガンガン電話かかって
      #きそうだなぁ...
      --
      Kiyotan
      親コメント
      • DM を発送する側から見ると、本当はまるで興味のない人間のところにコストをかけて資料を送ってしまっているわけで、そのうちに (そういう風に悪用される恐れのある Web での発送インターフェイスが) ひどく効率が悪いことに気がつき、止めてしまう (or まず registration が必要などの形へ改良されていく) のではないだろうか。

        Web は Web で独立して情報を提供し、実コストのかかる資料請求は電話で、という形に自然と落ち着くんじゃないかと思う。

        単に配ればいい、と考えている Y!BB みたいなトコとカンチガイ資本が合体したりなんかした場合は始末におえませんが…。
        --
        Only Jav^Hpanese available :-)
        親コメント
      • DMの配送を受け付けているサイトを探すところですかね。
        ここは手動でやらないと。
        最近はDM業者もコスト意識がありますから(だから電子メールを使うわけで・・・)、名寄せしているところも多いです。同じサイトから何度も同じ住所へ送ってもらうということは難しくなってきていますから、たくさんサイトを探すか、数少ないSPAMできるサイトを探すかって手作業が残ります。
        親コメント
      • by Anonymous Coward
        >キーワードは「自動化」でしょう。

        でも入力フォームはサイトでまちまちだし、
        (一箇所に大量注文したら警戒される?)
        いちいち作ってる間に空しくならないんだろうか?
        • Re:というか (スコア:2, すばらしい洞察)

          by kamuy (1690) on 2003年04月17日 8時15分 (#299905) ホームページ 日記
          フォームに定義されているIDとかはそれなりに可読性のあるモノが多いでしょうし、多少のバリエーションがあったとしても、出来合の使い回しであったり、同一業者から購入したものであったりすれば、それなりに汎用性のあるスクリプトを作るのくらい大した手間ではないでしょう。
          そもそも、検索すればいくらでもフォームを見つけられる訳で、読めないIDを付けたりという作り方をしているところは、利用せず無視すればいいと云うだけのこと。
          そういう「使えるフォームの検索」から「フォームへの書き込み・送信」までを全部自動化できるという現実があるから、騒動になるのであり、他のコメントにもあるように「防ぎようがないのでは?」というハナシのなるのでしょう。

          ソレと、こんな手の込んだ嫌がらせをするような精神状態の時、空しくなることはないと思いますよ。
          そのことに気づいていても、気づかなかったことにして突き進むような精神状態になっているでしょうし、そもそも、相手に明確な実害を与えられることがはっきりしている、つまり、徒労に終わる訳ではない、と云う意志が働くのでしょうし。

          #この場合、嫌がらせ自体が空しい行為であるという常識は通用しません。
          --
          -+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
          親コメント
        • Re:というか (スコア:2, すばらしい洞察)

          by Landie(GRG) (6950) on 2003年04月17日 8時18分 (#299907) ホームページ
          >いちいち作ってる間に空しくならないんだろうか?

          悪戯ならそうかもしれないが、嫌がらせならむしろ燃えるんじゃないだろうか。

          そういう事に燃えそうな奴がする嫌がらせにふさわしい、つーかそういう奴でないとこういう嫌がらせはしない?

          偏見、入ってる?
          親コメント
      • by Anonymous Coward

        寿司屋の出前のイヤガラセを やるためには
        ...(中略)
        やっぱ、キーワードは「自動化」でしょう。

        一方、郵便物は1件1件はたいしたイヤガラセにならないけど、寿司屋の出前は1件だけでも面倒で、数件だけで相手の精神を参らせるのに十分な威力を発揮してしまい、DOSと

        • by gedo (7079) on 2003年04月17日 10時49分 (#299977) 日記
          古くから周知のセキュリティホールがあるのに誰も問題にしない、ということからしても、日本って平和だなあと思ったり。
          だいぶ前に聞いた話だけど、やはり日本は平和で治安が良かったため、

          この手のセキュリティーホールを埋めるコスト>セキュリティーホールによる損害

          の関係が成立していた所も多いですから。
          そのため、あえて埋めない方が社会全体として得だったわけです。
          ところが、最近はグローバル化や犯罪増加で、そうとも言えなくなってきたので、セキュリティーとかを強化し始めたのではないかと。

          あと、海外に比べると日本社会自体が犯罪なれ(?)していないのもあるかも。
          親コメント
        • Re:伝統的DOSアタック (スコア:1, すばらしい洞察)

          by Anonymous Coward on 2003年04月17日 14時27分 (#300160)
          Bruce Scheiner氏は寿司屋の出前は知らないと思う。
          親コメント
        • by G7 (3009) on 2003年04月19日 15時26分 (#301318)
          >数件だけで相手の精神を参らせるのに十分な

          Denial of Stomach っすか?
          和訳:(文字通り)おなかいっぱい…?

          #がきのころ食べ物は粗末にしちゃいけないと教えられたせいか最近肥満になってしまったのでG7

          いずれにせよDoSは嫌ですね。それがオフライン実体を伴った贈り物なら尚更。
          逆にいえば電子データでしかない通常(?)のDoSのほうがまだしも気楽、という面もあるが。

          ----

          そういや、電子メールにSpamFilterがアリなのに、生メールのほうにどうして無いんでしょうね?
          ん?個人や法人への生メールをフィルタする業者っていう職業が存在し得るということか?
          あ、従来から企業内とかには存在したんでしたね。
          個人でも使えるほどフィルタのコストが安いのが電子メールだというわけか。
          DoSをしかけるほうのコストも安いが、防ぐ側もそこそこ安いんで、バランス取れてるぞと。

          で、今回の話の問題点は、この攻守のパワーバランスが崩れちゃうぞ、という点なのかなーと。
          親コメント
    • ゴルゴ13 (スコア:2, 興味深い)

      by targz (14071) on 2003年04月17日 15時52分 (#300210) 日記
      そういえば、ゴルゴ13で郵便箱をあふれさせてしまう話があったような。

      ゴルゴに依頼をするルートの1つとして、某所に郵便を出すというのがあるんですが、そのルートを潰そうとたくらんだ人が、
      「この住所には、不治の病で寝たきりになった子が住んでいる。絵ハガキを出してはげましてあげよう」
      と世界中で宣伝すると、その住所にいっぱい絵ハガキが届いてしまうという話。以後はネタばれになるので書きません。

      これはDDoS攻撃の一種か?
      親コメント
      • by Sakura Avalon (12557) on 2003年04月17日 16時41分 (#300232)
        一瞬、お化けのポストにDoS攻撃を受けて困る鬼太郎の図を思い浮かべてしまいました。^_^;

        それはさておき、攻撃じゃないのだけど某展示会で(販促グッズ欲しさに(笑))名刺を渡したところご丁寧にも数年に渡ってず~~っとDMやらカタログやらを送りつけてくる業者もおられます。月1くらいだから邪魔にこそなりませんが、そこって大型業務製品がメインなのでうちあたりの個人事業だと注文することはまず無いんだよなあ。かえって予算使わせて申し訳ないくらいですが、こちらがカタログ等を要求して送ってもらっているわけではないのでなんともはや。
        親コメント
    • by Anonymous Coward
      方法に多少の違いはあれど、日本でもこの程度のことなら誰でも出来そう。

      それをしないのが大人ってもんだ。もちろん子供もやってはいかんが。
      • Re:というか (スコア:2, おもしろおかしい)

        by Li Luxing (7797) on 2003年04月17日 6時19分 (#299883)
         あ~、大人ならば結婚相談所の資料請求を出すというのは古くからある手ですけど。

         とりあえず新入社員の名前で申し込んであげたりする、屈折した可愛がり方をする
        先輩方は世の中にはごまんといるのでは?(笑)
        --
        李 露星
        親コメント
        • Re:というか (スコア:1, 参考になる)

          by Anonymous Coward on 2003年04月17日 12時43分 (#300043)
          あ~、昔を思い出しました。

          その頃は結婚相談所は今みたいにブイブイやってなかったんで、吉原界隈の某店のVIP会員入会資料ってのが会社に私宛に届きました。

          #動揺がばれたら負けってんで、そ知らぬ振りでそこに電話して「会社に送るなんて変だと思わないか」って聞いたら「接待用に良くある」って話で「なるほど」って思った覚えが。

          親コメント
        • 字の汚い古文の教官に日ペン [gakubun.co.jp]の資料を送付する、というのもありました。
          親コメント
    • by Anonymous Coward
      他人事だと笑っていられますけどね。

      確かに幼稚に見えるけど、「昔から存在する」ような「勝手にピザの注文」とかとはわけが違うような…
      世の中には「ストーカー」なる連中もいるわけで、傍観はしていられないのかも。
    • by Anonymous Coward
      ゴルゴ13がそれで連絡網を潰されたという話がありましたね。
  • by Anonymous Coward on 2003年04月17日 6時53分 (#299891)
    〒104-0061
    東京都中央区銀座(一応自粛)
    第2ウイングビル 3F
    メールマガジン発行


    電子メール広告社
    (or さわやか広告社 or メール配信サービス or 新電子メール広告社 or モモコクラブ)には
    いつDMが殺到するんだ( ゚Д゚)ゴルァ!!
    • by sakura2k (1598) on 2003年04月17日 11時25分 (#300003) ホームページ 日記
      その住所が赤の他人である可能性も捨てきれないので軽はずみな行動は
      控えたほうが良いでしょう。

      # いま確認しましたがその住所は実在するようです。

      しかし違法なメールを平気で送るような奴が本当の住所を?
      --
      sakura2k
      親コメント
      • by lss (2577) on 2003年04月17日 12時38分 (#300037) ホームページ 日記
        仮に関係があったとしても、せいぜいバイトとかの住所でしょう。
        いざとなったら、バイトごと切って終わり。
        そのぐらいのことはするでしょうね。
        親コメント
    • by gtk (14477) on 2003年04月18日 10時50分 (#300733) 日記
      特に大きなオフィスビルなどの場合は、「守衛室」「受付窓口」という名の Firewall や IDS が既に設置されていたりします。

      小さなビルの場合はバッファオーバーフローと相成りまして、他のテナントさんに迷惑が掛かります。

      というわけで狙ったところへきっちりと攻撃を成立させるのは難しいと思いますです。
      親コメント
  • by Anonymous Coward on 2003年04月17日 7時29分 (#299899)
    自動化DM-spamをやられた方は、ただ一方的に被害を被る…ように思えるけど…

     DM申し込み=懸賞応募
    になっているサイトも結構あるので

    こういうページ [dti.ne.jp]を見ていると、ひょっとすると
    実はいろいろと自動的に「当たって」しまうのでは…?
    #さあ、これが得なのか損なのか…
  • by Anonymous Coward on 2003年04月17日 9時08分 (#299919)
    郵便受けあんまり見ないからされても気づかない・・・
typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...