cNotes 検索 一覧 カテゴリ

IPv6ネットワーク経由でとどくspam

Published: 2011/02/22

IPv4アドレスも枯渇に向い、IPv6を利用したサービスの利用機会もこれから増えていくと思われます。

そこで、セキュリティ的な観点からの調査の一つとして、スパムトラップに利用しているメールサーバーをIPv6に対応させてみました。

こういうことを想定して。。。

スパム送信側がIPv6に対応していて、受信側のメールサーバーのアドレスのAAAAの応答があればIPv4経由だったスパムがIPv6経由になって届くはずだろうと。

で、想定どおり、IPv6網経由でスパムが届くようになりました。

送信元はこのあたり。

IPnameASAS name
2001:748:100:40::8:112virtual2.mx.freenet.de.5403APA-Media-NetworkDEGermany
2001:6c8:2:100::25mailproxy1.eng.tdc.net.3292TDCDKDenmark
2001:470:1f04:815::2ctch-1-pt.tunnel.tserv3.fmt2.ipv6.he.net.6939HURRICANEUSUSA
2001:4cb8:1:5::25:3secure-mail-3.signet.nl.28878SIGNET-ASNLNetherlands
2a00:18c0:1:1::cbiben.corbina.net.8402CORBINA-ASRURussian
2001:7a0:1:2::200seluib4vp22.perspektivbredband.net.15782PERSPEKTIV-ASSESweden
2001:4d88:1005::25:1:2mx02.mucip.net.31333VOLLMAR-ASDEGermany
2001:748:100:40::8:110virtual0.mx.freenet.de.5430FREENETDEDEGermany
2001:418:0:7011:20c:f1ff:fe7e:7d27NONE2914NTTC-GIN-ASUSUSA
2001:748:100:40::8:111virtual1.mx.freenet.de.5430FREENETDEDEGermany
2001:7a0:1:200::36dktahrsvp03.perspektivbredband.net.15782PERSPEKTIV-ASSESweden
2a02:f40:10::4mx3.tktelekom.pl.20960TKTELEKOM-ASPLPoland

上の図の想定通り、スパマが意図的にIPv6を利用しているというわけではなく、スパマが利用しているホスティングサービス等がIPv6に対応している場合、受信側のメールサーバーがIPv6に対応していて、AAAAレコードの応答があればそちらを経由するということです。

ちなみにAとAAAA両方の応答がある場合にIPv4とIPv6どちらが利用されるかはOSや設定依存です。

簡単にまとめるとこのような感じ。
OSA or AAAA
Windows XPAAAAを先に問い合わせ
Windows Vista/7Aを先に問い合わせ
iOS/OSXAとAAAAをほぼ同時に送信、AAAAの応答があればそちらを利用
LinuxAAAAを先に問い合わせ
FreeBSDAを先に問い合わせ

細かい動きはもうちょっと複雑で、ユーザー環境、サーバー環境をIPv4/v6のデュアルスタックにした場合、それぞれのOSやアプリの挙動により、AなのかAAAAなのか、トランスポートがIPv4なのかIPv6なのか、どちらを優先するのかなどの様々な条件の組み合わせの結果どの通信がIPv4/v6のどちらを流れるのかが異なります。

今回の例のようにスパムもどちらの網を経由して届くかわからないわけです。

また、予想外の通信がIPv6網経由になってしまう場合も多々あるため、セキュリティ対策はとても複雑になります。そもそもセキュリティ以前に一般の通信やアプリケーション、ゲームなどがまともに動くのか明確に確認できないため、これから長い時間をかけてIPv4/v6デュアル環境、IPv6ネイティブ環境に適応していくしかないんだろうと思われます。

ただこういった時期はセキュリティ的には中途半端になりがちなので怖いですね。

[カテゴリ:IPv6観察日記]

by jyake