IPv6ネットワーク経由でとどくspam
Published: 2011/02/22
IPv4アドレスも枯渇に向い、IPv6を利用したサービスの利用機会もこれから増えていくと思われます。
そこで、セキュリティ的な観点からの調査の一つとして、スパムトラップに利用しているメールサーバーをIPv6に対応させてみました。
こういうことを想定して。。。
スパム送信側がIPv6に対応していて、受信側のメールサーバーのアドレスのAAAAの応答があればIPv4経由だったスパムがIPv6経由になって届くはずだろうと。
で、想定どおり、IPv6網経由でスパムが届くようになりました。
送信元はこのあたり。
IP | name | AS | AS name | 国 | |
---|---|---|---|---|---|
2001:748:100:40::8:112 | virtual2.mx.freenet.de. | 5403 | APA-Media-Network | DE | Germany |
2001:6c8:2:100::25 | mailproxy1.eng.tdc.net. | 3292 | TDC | DK | Denmark |
2001:470:1f04:815::2 | ctch-1-pt.tunnel.tserv3.fmt2.ipv6.he.net. | 6939 | HURRICANE | US | USA |
2001:4cb8:1:5::25:3 | secure-mail-3.signet.nl. | 28878 | SIGNET-AS | NL | Netherlands |
2a00:18c0:1:1::c | biben.corbina.net. | 8402 | CORBINA-AS | RU | Russian |
2001:7a0:1:2::200 | seluib4vp22.perspektivbredband.net. | 15782 | PERSPEKTIV-AS | SE | Sweden |
2001:4d88:1005::25:1:2 | mx02.mucip.net. | 31333 | VOLLMAR-AS | DE | Germany |
2001:748:100:40::8:110 | virtual0.mx.freenet.de. | 5430 | FREENETDE | DE | Germany |
2001:418:0:7011:20c:f1ff:fe7e:7d27 | NONE | 2914 | NTTC-GIN-AS | US | USA |
2001:748:100:40::8:111 | virtual1.mx.freenet.de. | 5430 | FREENETDE | DE | Germany |
2001:7a0:1:200::36 | dktahrsvp03.perspektivbredband.net. | 15782 | PERSPEKTIV-AS | SE | Sweden |
2a02:f40:10::4 | mx3.tktelekom.pl. | 20960 | TKTELEKOM-AS | PL | Poland |
上の図の想定通り、スパマが意図的にIPv6を利用しているというわけではなく、スパマが利用しているホスティングサービス等がIPv6に対応している場合、受信側のメールサーバーがIPv6に対応していて、AAAAレコードの応答があればそちらを経由するということです。
ちなみにAとAAAA両方の応答がある場合にIPv4とIPv6どちらが利用されるかはOSや設定依存です。
簡単にまとめるとこのような感じ。
OS | A or AAAA |
---|---|
Windows XP | AAAAを先に問い合わせ |
Windows Vista/7 | Aを先に問い合わせ |
iOS/OSX | AとAAAAをほぼ同時に送信、AAAAの応答があればそちらを利用 |
Linux | AAAAを先に問い合わせ |
FreeBSD | Aを先に問い合わせ |
細かい動きはもうちょっと複雑で、ユーザー環境、サーバー環境をIPv4/v6のデュアルスタックにした場合、それぞれのOSやアプリの挙動により、AなのかAAAAなのか、トランスポートがIPv4なのかIPv6なのか、どちらを優先するのかなどの様々な条件の組み合わせの結果どの通信がIPv4/v6のどちらを流れるのかが異なります。
今回の例のようにスパムもどちらの網を経由して届くかわからないわけです。
また、予想外の通信がIPv6網経由になってしまう場合も多々あるため、セキュリティ対策はとても複雑になります。そもそもセキュリティ以前に一般の通信やアプリケーション、ゲームなどがまともに動くのか明確に確認できないため、これから長い時間をかけてIPv4/v6デュアル環境、IPv6ネイティブ環境に適応していくしかないんだろうと思われます。
ただこういった時期はセキュリティ的には中途半端になりがちなので怖いですね。
by jyake