はじめに

不正利用の苦情に対処する最善の方法は、そもそも悪用を防ぐように出口ノードを設定することです。 詳細につきましては、この文書を読む前に、迷惑行為を最小限に抑えた出口ノードの運用のヒントと Tor 出口ガイドラインをご覧ください。

以下は、あなたの Tor 出口サーバーに関する ISP からの苦情に対応するために使える返信のコレクションです。

テンプレートの形式と方針

これらのテンプレートは、インターネット全般 (公衆 Wi-Fi、オープンプロキシ、ボットネットなど) に通用する特定の問題に対する解決策を見つけるのに役立つ情報、そして Tor をブロックする方法など、Tor への苦情申立人に知らせることがまとめられています。 Tor Project の方針として、悪用はサイト管理者が主体的に対処すべきであり、復讐や追跡に労力やリソースを浪費するべきではない考えています。

不正利用に対する積極的なアプローチと反応的なアプローチの違いは、分散型で耐障害性のあるインターネットの自由と、脆弱で腐敗しやすい全体主義的統制の違いです。 韓国や中国のインターネット「サイバー空間ID」は、サイバー犯罪やインターネットの不正利用を抑制するために何の役にも立っていません。 それどころか、客観的な証拠はすべて、組織犯罪が主宰する新たな市場を生み出しただけだと示しているようです。 これが、これらの不正利用苦情テンプレートが受け手に伝えようとする根幹をなす考えです。 この目標に達していないと感じたら、自由に改良してください。

すべてのテンプレートは、以下の共通定型文を含み、特定のシナリオに応じていくつかの追加の項目を加える必要があります。

共通定型文 (Tor の概要)

問題の IP アドレスは Tor の出口ノードです。
https://2019.decvnxytmk.oedi.net/about/overview.html.en

この問題をさらに追跡するためにできることはほとんどありません。
概要ページからもお分かりいただけるように、Tor ネットワークはユーザーの追跡を不可能にするように設計されています。
Tor ネットワークは、Tor Project が提供するフリーソフトウェアを使って Tor ルーターを稼働する5000人ほどのボランティアによって運用されています。
クライアントからの接続は複数のリレーを経由し、リレー間の接続で多重化されます。
システムはクライアント接続や以前のホップのログを記録しません。

これは Tor ネットワークが、内部告発者、ジャーナリスト、グレートファイアウォールを回避する中国の反体制派、虐待の被害者、ストーカーの標的、米軍、法執行機関など、検閲への抵抗、プライバシー、匿名性を提供するシステムであるためです。
詳細につきましては、https://decvnxytmk.oedi.net/about/torusers.html.en をご覧ください。

残念ながら、ネットワークを悪用する人もいます。しかし、合法的な利用の割合 (問題のIP範囲は1秒間にほぼ1ギガビットのトラフィックを処理する) と比較すると、[悪用による苦情はまれです](https://jqlsbiwihs.oedi.net/ja/abuse/)。

悪用のシナリオ

以下のシナリオ固有の項目は、上記の共通定型文の項目に追加してください。 悪用の苦情申立人がすでに Tor に熟知している場合、共通定型文は簡略化するか、省略します。

コメント/フォーラム スパム

ただし、これは何もできないということではありません。

Tor Project は、Tor ノードからの投稿に特別な扱いが必要であるとフラグを立てることができる自動 DNSRBL を提供しています。
また、この DNSRBL を使用して、Tor IP に閲覧のみを許可し、コメントの投稿を許可しないこともできます。https://decvnxytmk.oedi.net/projects/tordnsel.html.en

しかし、これはあなたのフォーラムを利用する多くの正当な Tor ユーザーの中の一人の愚か者に過ぎない可能性があることにご注意ください。
一時的にアカウント作成を制限して、投稿前に Gmail アカウントを要求したり、投稿前に Tor 以外でのアカウント作成を要求することで、この悪意のあるユーザーを排除できるかもしれません。

通常このような問題は、インターネット全体からの攻撃を防御するためにサービスを改善することによって解決するのが最善であると考えています。
ブルートフォースログインの試行は、Captcha を使用して減らすことができます。これは、同じ問題に対して Gmail が採用したアプローチです。
実際、Google は他のサイトがこの問題に対処するのを容易にするために、多くのシステムに簡単に組み込むことができるコードを完備した無料の Captcha サービスを提供しています。
https://code.google.com/apis/recaptcha/intro.html

PHP リレーまたは悪用されたウェブメールアカウントスパム

さらに、ノードはIPを使用して SMTP トラフィックを送信することを許可していません。
調査したところ、スパムの発信源は、以下のアドレスで実行されている不正または侵害されたウェブメールゲートウェイによるもののようです。
<ウェブサーバー名>
悪用対処部門に連絡されましたか？

Google グループスパム

あなたの不正利用への苦情は、認証された Google グループユーザーによって引き起こされたようです。
ヘッダーを調べると、Google グループの不正利用に関する苦情の宛先は groups-abuse@google.com です。
このアドレスに連絡すれば、Tor ノードやプロキシ、公衆無線 LAN を追いかけるよりも、この悪用者の Google グループのアカウントを取り消してもらえる可能性が高いです。

さらに、あなたのニュースリーダーが killfiles をサポートしているならば、以下に一致する投稿の killfile に含める IP のリストをダウンロードするために Tor Bulk Exit list スクリプトを使うこともできます。
<ip>" https://check.torproject.org/cgi-bin/TorBulkExitList.py

DoS 攻撃とスクレイピングロボット

あなたのサイトが Tor からこのような高負荷に直面していることを遺憾に思います。

しかし、ルーターを流れるトラフィック量が多いため、単にレート制限アラームで誤検出が発生しただけの可能性もあります。
私たちは毎秒約1ギガビットのトラフィックにサービスを提供しており、その98%はウェブトラフィックです。

しかし、もし攻撃が現実で進行中であれば、Tor Project が提供している Tor ノードからのログイン試行をブロックするための自動 DNSRBL をご利用ください。https://decvnxytmk.oedi.net/projects/tordnsel.html.en

また、あなたの SSH ポートに接続するすべての Tor 出口 IP のリストをダウンロードすることもできます。
https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=YOUR_IP&port=80

しかし、通常このような問題は、インターネット全体からの攻撃を防御するためにサービスを改善することによって解決するのが最善であると考えています。

スクレイピングやロボットの活動は、Captcha を使用して減らすことができます。これは、同じ問題に対して Gmail が採用したアプローチです。
実際、Google は他のサイトがこの問題に対処するのを容易にするために、多くのシステムに簡単に組み込むことができるコードを完備した無料の Captcha サービスを提供しています。https://code.google.com/apis/recaptcha/intro.html

[Apache MaxClients の制限を消費することを目的とする](http://www.guerilla-ciso.com/archives/2049)「Slow DoS Attack」は、httpd.conf の TimeOut と KeepAliveTimeout の設定値を15から30に減らし、ServerLimit と MaxClients の値を3000などに上げることで軽減できます。

これに失敗した場合、DoS 攻撃は iptables ベースのレート制限ソリューション、nginx のようなロードバランサー、IPS デバイスでも解決できますが、インターネットトラフィックは、大企業や国家のアウトプロキシ、NAT、Tor のようなサービスによって、IP ごとに量が必ずしも一様ではないことに注意してください。
http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/
http://cd34.com/blog/webserver/ddos-attack-mitigation/
http://deflate.medialayer.com/

ブルートフォース ウェブ攻撃

あなたのアカウントがブルートフォース攻撃を受けたことを遺憾に思います。ノードがこのサイトに接続しないようにすることもできますが、Tor ネットワークには800程度の出口ノードがあるため、そうしても長期的に被害を食い止めることはできません。
攻撃者はおそらく、Tor への接続後にオープンなプロキシに接続するか、公衆無線 LAN や Tor ではないプロキシを使用するでしょう。

Tor Project は自動 DNSRBL を提供しており、Tor ノードからのリクエストに特別なレビューが必要であるとフラグを立てることができます。https://decvnxytmk.oedi.net/projects/tordnsel.html.en

通常このような問題は、Tor 向けに特別に動作を調整するのではなく、インターネット全体からの攻撃を防御するためにサービスを改善することによって解決するのが最善であると考えています。
ブルートフォースログインの試行は、Captcha を使用して減らすことができます。これは、同じ問題に対して Gmail が採用したアプローチです。
実際、Google は他のサイトがこの問題に対処するのを容易にするために、多くのシステムに簡単に組み込むことができるコードを完備した無料の Captcha サービスを提供しています。https://code.google.com/apis/recaptcha/intro.html

SSH ブルートフォース攻撃

SSH スキャンが気がかりな場合、SSHD をデフォルトの22以外のポートで実行することをご検討ください。
多くのワーム、スキャナー、ボットネットはインターネット全体をスキャンして、SSH ログインを探します。
いくつかのログインが Tor からあったという事実は、全体的なログイン試行率から見れば小さなものである可能性が高いです。
また、レート制限のソリューションもご検討ください。https://kvz.io/blog/2007/07/28/block-brute-force-attacks-with-iptables/

もしそれが Tor 特有の深刻な問題である場合、Tor Project が提供している Tor ノードからのログイン試行をブロックするための自動 DNSRBL をご利用ください。https://decvnxytmk.oedi.net/projects/tordnsel.html.en

また、あなたの SSH ポートに接続するすべての Tor 出口 IP のリストをダウンロードすることもできます。https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=YOUR_IP&port=22

このリストを使ってネットワークをブロックする iptables ルールを作成することができます。
しかし、Tor がブロックされると、攻撃は単にオープンなプロキシや他の IP から再び現れる可能性が高いので、より幅広いアプローチを使うことをお勧めします。

ハッキングされた Gmail、ウェブフォーラム、その他のアカウントへのアクセス

あなたのアカウントに関して、攻撃者が大規模なボットネット (またはあなたのマシンのIP自体) ではなく Tor を使用したことを考えると、あなたのパスワードはキーロガーからあなたのマシンから取得されたか、公衆無線 LAN から取得された可能性があります。

私たちが推奨するのは、この出来事を、あなたの街の公衆無線 LAN からログインがあったものとして扱うことです。パスワードをリセットし、ウイルス対策ソフトをご利用ください。まだウイルス対策ソフトをお持ちでない場合は、信頼できる無料の製品をお試しください。
これらを使ってスキャンし、あなたのコンピューターにアクセスできる攻撃者がインストールした可能性のあるキーロガーやスパイウェアを検出します。

また公衆無線 LAN を使用する際は、情報を保護するために、以下の Firefox プラグインの使用をご検討ください。<https://www.eff.org/https-everywhere/>そして、サイト管理者に HTTPS ログインをサポートするよう働きかけましょう。

ハッキング (PHP ウェブシェル、XSS、SQL インジェクション)

だからといって、何もできないわけではありません。
深刻な事件に対しては、おとり捜査を行い、手段、動機、機会を特定するという従来の警察の捜査手法が依然として非常に効果的です。

さらに、Tor Project は自動 DNSRBL を提供しており、Tor ノードからの閲覧者に特別な扱いが必要であるとフラグを立てることができます。https://decvnxytmk.oedi.net/projects/tordnsel.html.en
同じリストは Tor Bulk Exit List からも入手できます。https://check.torproject.org/cgi-bin/TorBulkExitList.py

しかし、正当な Tor ユーザーがあなたのサービスを利用することを一概に禁止するのではなく、サービスを更新・維持して常に最新の状態に保ち、このような状況 (PHP ウェブシェル/XSS 侵害/SQL インジェクション侵害) を引き起こす可能性のある脆弱性がないようにすることを推奨します。

電子商取引詐欺

だからといって、何もできないわけではありません。
深刻な事件に対しては、おとり捜査を行い、手段、動機、機会を特定するという従来の警察の捜査手法が依然として非常に効果的です。

さらに、Tor Project は自動 DNSRBL を提供しており、Tor ノードからのリクエストに特別なレビューが必要であるとフラグを立てることができます。https://decvnxytmk.oedi.net/projects/tordnsel.html.en

また、リスト全体を取得するための Bulk Exit List サービスも提供しています。https://check.torproject.org/cgi-bin/TorBulkExitList.py

このリストを使えば、正規のユーザーを失うことなく、Tor からのリクエストを詳しく調べたり、追加検証のために一時的に保留したりすることができます。

実際、私の経験では、多くの ISP が契約している不正処理チームは、このリストを使って Tor ノードからのリクエストをすべて詐欺としてマークしています。
そのため、特に不正検知をサードパーティに委託している場合は、正当なリクエストであるにもかかわらず、IP のみに基づいて不正と判定される可能性さえあります。

暴力の脅威 (リアルタイムでの議論のためのアドバイス)

このテンプレートセットでカバーされていない深刻な虐待の苦情が届いた場合、最善の解決策は、苦情を申し立てた当事者とのパターンに従うことです。 これは法的なアドバイスではありません。 また、これは弁護士によって書かれたものでも、見直されたものでもありません。 これは、ネットワーク上の Tor の出口ノードに関して問題を抱えた様々な ISP で仕事をした経験のある方が書いたものです。 また、大手 ISP で悪用の対応をされている方によって確認されています。

• Tor の概要を読みます。要約して、基本的な質問に答えられるように準備しておきましょう。あなたが会話をしようとしている相手は Tor について何も知らないと仮定してください。同じ人があなたの言うことを何も信用しないと思ってください。
  • ハラスメントのメールや殺害予告のような深刻なケースでは、現実世界で匿名の個人によって行為が実行される状況 (郵便で通知を届けるなど) を類推することがしばしば役に立ちます。
  • 誰が犯罪を犯す手段、動機、機会を持っていたかを判断するために、従来の警察の捜査手法が依然として使えることを知らせます。
• 苦情申立人と話をするか、直接メールを送るよう手配します。
• 会話の中で、いくつかのポイントを説明してください。
  • あなたは問題の加害者ではありません。
  • あなたは責任あるサーバーオペレーターであり、苦情申立人の問題を懸念しています。
  • あなたは気が狂っているわけではありません。実際はそうかもしれませんが、クレームを出した人にそう推測されてほしくはありません。
• 多くの場合、あなたの ISP は第三者の苦情申立人の仲介役として関与します。ISP は以下のことを知りたがっています。
  • あなたのサーバーは危険にさらされていません。
  • あなたのサーバーはスパムリレーではありません。
  • あなたのサーバーはトロイの木馬やゾンビコンピューターではありません。
  • あなたは有能なサーバー管理者であり、問題に対処できます。少なくともこの問題について議論し、誠実に対応することができます。
  • ISP に過失はなく、あなたの行為に対する責任もない。これは通常そうなのですが、問題に対処する悪用担当者は、ISP の問題ではないと聞きたいだけなのです。彼らは安心してから次に進むでしょう。
• オプションについて話し合います。リレーオペレーターに提供されているオプションは以下の通りです。
  • ISP/苦情申立人は、ログファイルの閲覧を要求するかもしれません。幸いなことに、デフォルトでは機密情報は開示されません。ISP がログファイルへのアクセスを執拗に求めてくる場合は、他の ISP に乗り換えることをお勧めします。
  • ISP/苦情申立人は、あなたが出口ノードではないノードに変更することを提案するかもしれません。この場合、こちらのブログ記事の項目6で提案されているような、縮小された出口ポリシーで対処することができます。
  • ISP/苦情申立人はあなたに Tor を無効にするよう要求するかもしれません。その場合、他の ISP に乗り換えることをお勧めします。
  • ISP/苦情申立人はデフォルトのポートのトラフィックをファイアウォールで遮断すると言うかもしれません。その場合、他の ISP に乗り換えることをお勧めします。
  • 出口ノードから特定のIP範囲へのトラフィックを許可しないように設定を更新します。代わりに Tor DNS RBL を使うように提案してもよいでしょう。
• すべての話し合いが終わったら、1週間以内にフォローアップの話し合いをしましょう。合意した変更が実装されていることを確認します。ISP も苦情申立人もこれを望んでいないかもしれませんが、あなたが申し出たという事実はあなたの信用につながります。そうすることで、相手はあなたに安心感を抱くかもしれません。

その他のテンプレートセット

• EFF によって作成された Tor ノードメンテナの ISP への DMCA 応答テンプレート 。
• Torservers による応答テンプレートメール。