mixiユーザー(id:65933753)
2020年04月26日15:13
224 view
同一IPとかの補足
香川ゲーム条例、パブコメ原本を入手 賛成意見「大半が同じ日に投稿」「不自然な日本語」――あらためて見えた“異常”内容
https:/
とりあえず、ここからダウンロードできる。
https:/
56枚しかないじゃねえか、と思ったら、そんなことはなくて、1ドキュメントに20枚とかついていた。
というわけで、画像化した。
テキスト化は、時間がかかるので、また後で・・・。
確認とか、数人はほしいよなあ。
https:/
・・・さて、本文の補足をしよう。
「これも既に指摘されていますが、ローカルIPアドレス「192.168.7.21」から送信されたものが非常に多かったのも気になりました(通常、送信者のIPアドレスは見えない仕様ですが、「192.168.7.21」についてはそのまま公開されていた)。数えてみると「賛成」約2300件のうち1901件が「192.168.7.21」からの送信で、これは全賛成意見の83パーセントに相当します。
ただ、これ自体は単に「香川県のサイトにある『ご意見箱』から投稿するとこのように表示される」という仕様だったことが、議会事務局への取材や、KSB瀬戸内海放送などの検証で明らかになっています。つまり、これ自体が直ちに不正の証拠になるというわけではありません。」
これは、どういう原理で起きるかというと、キャッチボールを想像すればわかる。
ネットワーク構成図を見ていないのでおおかた推測だが、リバースプロキシというものをおいている可能性がある。
https:/
こんな感じでおく。
だいたい、不特定多数のクライアントに対するアクセス制限や、サーバーの負荷分散のために用意される。
ロードバランサなどと併用して、このアクセスは今空いているこのサーバに対応させよう、などと割り振りをしていく。
ただ、Webサーバ(ご意見箱の内容を、DBなりどこかに保存しておく処理をするサーバ)から見える、キャッチボールの相手は、中継器、つまりリバースプロキシになる。
これは、平成28年情報セキュリティスペシャリスト(現:情報処理安全確保支援士)試験の、午後1問3でも似たようなことが問われている。
https:/
出典:山崎圭吾、濱野谷芳枝、八木美智子、佐宗万祐子『絶対わかる情報処理安全確保支援士 2017年春版』(日経BP社、2017.02)P158
ご意見箱の内容というのは、送信者が「送信」ボタンを押すと、Webサーバに向けて、HTTPリクエストとして、1行のデータとして送信される。リバースプロキシを経由すると、送信IPアドレスの部分がリバースプロキシのIPアドレスに書き換わるので、本来の送信者をわかるようにしておく必要がある。
そのためには、HTTPリクエスト内のHTTPリクエストヘッダ、という部分の、「X-Forwarded-For」という領域に本来のIPアドレスが書かれるので、その部分をWebサーバ側で取得して、保存する際に書いてやらないといけない。
Webサーバ、Apache(だいたい今の世の中、Apacheだから・・・)の設定は、以下を参照。
https:/
その設定を怠っていない場合、ほんとうに192.168.7.21からバカスカ来ていた場合、それは、1カ所から送ってることになりますけどね。
だって、こんなの当たり前じゃないですか。
攻撃を受けたときに、ログから追えなくなっちゃうじゃないですか。
そんなこともしらんの?って、業者が呆れ顔しちゃうんじゃないですか?
「投稿者のUserAgent(投稿者のブラウザ環境を示すパラメータ)についても一部で話題になっていましたが、これについては時間が足りず、今回は詳細な検証まではできていません(IPアドレスは「ご意見箱」サーバのものですが、UserAgentは“送信者のもの”が記録されているようです)。」
だって、そんなところは、中継器で書き換わりませんからね。
あんまり今回大事なところとは考えていない。
https:/
https:/
とりあえず、ここからダウンロードできる。
https:/
56枚しかないじゃねえか、と思ったら、そんなことはなくて、1ドキュメントに20枚とかついていた。
というわけで、画像化した。
テキスト化は、時間がかかるので、また後で・・・。
確認とか、数人はほしいよなあ。
https:/
・・・さて、本文の補足をしよう。
「これも既に指摘されていますが、ローカルIPアドレス「192.168.7.21」から送信されたものが非常に多かったのも気になりました(通常、送信者のIPアドレスは見えない仕様ですが、「192.168.7.21」についてはそのまま公開されていた)。数えてみると「賛成」約2300件のうち1901件が「192.168.7.21」からの送信で、これは全賛成意見の83パーセントに相当します。
ただ、これ自体は単に「香川県のサイトにある『ご意見箱』から投稿するとこのように表示される」という仕様だったことが、議会事務局への取材や、KSB瀬戸内海放送などの検証で明らかになっています。つまり、これ自体が直ちに不正の証拠になるというわけではありません。」
これは、どういう原理で起きるかというと、キャッチボールを想像すればわかる。
ネットワーク構成図を見ていないのでおおかた推測だが、リバースプロキシというものをおいている可能性がある。
https:/
こんな感じでおく。
だいたい、不特定多数のクライアントに対するアクセス制限や、サーバーの負荷分散のために用意される。
ロードバランサなどと併用して、このアクセスは今空いているこのサーバに対応させよう、などと割り振りをしていく。
ただ、Webサーバ(ご意見箱の内容を、DBなりどこかに保存しておく処理をするサーバ)から見える、キャッチボールの相手は、中継器、つまりリバースプロキシになる。
これは、平成28年情報セキュリティスペシャリスト(現:情報処理安全確保支援士)試験の、午後1問3でも似たようなことが問われている。
https:/
出典:山崎圭吾、濱野谷芳枝、八木美智子、佐宗万祐子『絶対わかる情報処理安全確保支援士 2017年春版』(日経BP社、2017.02)P158
ご意見箱の内容というのは、送信者が「送信」ボタンを押すと、Webサーバに向けて、HTTPリクエストとして、1行のデータとして送信される。リバースプロキシを経由すると、送信IPアドレスの部分がリバースプロキシのIPアドレスに書き換わるので、本来の送信者をわかるようにしておく必要がある。
そのためには、HTTPリクエスト内のHTTPリクエストヘッダ、という部分の、「X-Forwarded-For」という領域に本来のIPアドレスが書かれるので、その部分をWebサーバ側で取得して、保存する際に書いてやらないといけない。
Webサーバ、Apache(だいたい今の世の中、Apacheだから・・・)の設定は、以下を参照。
https:/
その設定を怠っていない場合、ほんとうに192.168.7.21からバカスカ来ていた場合、それは、1カ所から送ってることになりますけどね。
だって、こんなの当たり前じゃないですか。
攻撃を受けたときに、ログから追えなくなっちゃうじゃないですか。
そんなこともしらんの?って、業者が呆れ顔しちゃうんじゃないですか?
「投稿者のUserAgent(投稿者のブラウザ環境を示すパラメータ)についても一部で話題になっていましたが、これについては時間が足りず、今回は詳細な検証まではできていません(IPアドレスは「ご意見箱」サーバのものですが、UserAgentは“送信者のもの”が記録されているようです)。」
だって、そんなところは、中継器で書き換わりませんからね。
あんまり今回大事なところとは考えていない。
https:/
0
4
ログインしてコメントを確認・投稿する