MGLNDDスキャン

システムのログに残った謎スキャンについて調べてみた。

MGLNDD_<IP address>_<port>

ある日、メールのエラーに次のようなログがあった。

 Out: 220 mail.server.jp ESMTP Postfix
 In:  MGLNDD_11.22.33.44_587
 Out: 500 5.5.2 Error: command not recognized

とてもあやしい。

接続元のIPアドレスは104.45.233.173 (azpdwgc70.stretchoid.com)。

stretchoid.comというサイトは存在し、アクセスすると次のようなメッセージが表示される。(実際に表示されるのは英文のみ)

Stretchoid is a platform that helps identify an organization’s online services.

Sometimes this activity is incorrectly identified by security systems, such as firewalls, as malicious. Our activity is completely harmless. However, if you would prefer that we do not scan your infrastructure, please submit the following information:

Stretchoidは、組織のオンラインサービスを特定するプラットフォームです。

この活動は、ファイアウォールなどのセキュリティシステムによって悪意があると誤認識される場合があります。 当社の活動は完全に無害ですが、インフラストラクチャのスキャンを希望しない場合は、以下の情報を送信してください。

https://stretchoid.com/

とてもあやしい。

stretchoid.comとは

検索してみると、あやしく思ってブロックしたがる人の記事がわんさか出てくる。が、同時にブロック対象が簡単には絞れないらしいこともわかる。

  • アクセス元のドメインはstretchoid.comのことが多い
  • アクセス元のドメインが引けないこともある
  • 特定のIPアドレス帯を使用しているわけではない(歯抜けで使用)

うちにアクセスしてきたIPアドレスをGeoIPで検索すると、どうやらMicrosoft Azure (クラウド) を利用しているらしいことがわかる。だからIPアドレスが歯抜けなわけ。これをしらみつぶしに調べてブロックするのは、容易じゃない。

さらに調べたところ、アクセス元が判明したとの記事を発見。

Update: MGLNDD_* Scans - SANS Internet Storm Center
Update: MGLNDD_* Scans, Author: Didier Stevens

これによると、MGLNDDのログを残すのは、RIPE Atlas Tools (Magellan) とのこと。

詳しく解説している動画は、こちら。この件についての解説は、13分36秒頃から。

英語Wikipediaの「RIPE Atlas」の項によれば、RIPE Atlasとは「インターネット接続をリアルタイムで測定する数千の測定デバイスで構成される、グローバルでオープンな分散型インターネット測定プラットフォーム」とのこと。

分散型だから、IPアドレス帯を絞るなんて最初から無理な話だった。

まあ、でも、この件に関する限り、やっきになってブロックする必要はなさそう。

RIPE Atlasのサイトを見る限り、確かに後ろ暗いことに手を染めている様子はない。だったらstretchoid.comのオプトアウトのページにも、具体的に何をしているのかきちんと説明するか、せめてRIPE Atlasへのリンクを記載しておけばいいのに。

具体的な根拠を示さないまま「自分は無害です」と言うやつが一番あやしい、というのは国を問わず世の中の一般常識である。RIPE Atlasの中の人には、システム管理者たちに無用なストレスを与えたことについて、猛省をうながしたい。

タイトルとURLをコピーしました