2008年02月02日
■ Winny媒介型ウイルスの放流元を追跡してみた
前回の日記「Wikipedia ∩ Winny で何が判るか」で用いたデータは、ノード数調査の目的で作成したcrawlerがダンプしたデータであり、観測密度が十分ではないため(一巡するのに1時間半ほどかかる)、ウイルスファイルの放流元を追跡するには不十分なものだろうと、これまでは考えてきた。しかし、今回の事件で、放流元とされる犯人のノード情報が明らかになったことから、追跡の検証ができるようになった。そこで、駄目元で念のためにやってみることにした。
まず、基礎情報から。
私のcrawlerでは、1日に約1500万個の公衆送信されるキーを受信し記録している。このうち、拡張子を偽装したと思われるファイル(ファイル名に「 .」を含むファイル)のキーの割合を調べてみたところ、次の通りであった。
表1: 拡張子偽装ファイルのキー流通量*1
| 観測日 | 観測キー数 | 拡張子偽装数 | 拡張子偽装率 |
|---|---|---|---|
| 2006年9月1日 | 14273264 | 15598 | 0.109% |
| 2006年10月1日 | 15702248 | 17146 | 0.109% |
| 2006年11月1日 | 5276244 | 6181 | 0.117% |
| 2006年12月1日 | 12484431 | 20021 | 0.160% |
| 2007年1月1日 | 15502438 | 21375 | 0.138% |
| 2007年2月1日 | 16672311 | 25341 | 0.152% |
| 2007年3月1日 | 14641230 | 28230 | 0.193% |
| 2007年4月1日 | 15738955 | 30102 | 0.191% |
| 2007年5月1日 | 13861971 | 31370 | 0.226% |
| 2007年6月1日 | (観測停止期間) | ||
| 2007年7月1日 | 14257686 | 23057 | 0.162% |
| 2007年8月1日 | 14371248 | 22004 | 0.153% |
| 2007年9月1日 | (観測停止期間) | ||
| 2007年10月1日 | 14187262 | 21913 | 0.154% |
ウイルスは .zip ファイル内に潜んでいることも多いことから、拡張子偽装だけ調べてもウイルス全般の調査にはならないが、ここではひとまず拡張子偽装されたファイルについてだけ調べることにした。
まず、時刻順に並んでいるキーのダンプから、ファイル名に「 .」を含むものだけ抽出しながら、ファイルのハッシュID(Winny用語で言うところの「ハッシュ値」)毎に、そのキーを送信してきたWinnyノードを出現順にシリアル番号を振りながら転記することで、データを整理した。
たとえば、2007年1月1日に最初に観測*2した拡張子偽装ファイルのハッシュIDは「%09fdce1365df9fc28dd921faXXXXXXXX」であったが、このIDについての観測記録の冒頭は次のようになっている。「X」は伏字であり、1行目にはファイル名を記載しているがここでは省略している(「tail +2」)。
% more filelog-%09fdce1365df9fc28dd921faXXXXXXXX.txt | tail +2 | domain | head -20 1167579693 1167574844 1 softbank220XXXXXXXXX.bbtec.net:24062 1167580106 1167361870 2 pXXXX-ipadXXfukuhanazo.fukushima.ocn.ne.jp:30770 1167580728 1167579458 3 218-XXX-X-XX.eonet.ne.jp:22658 1167581351 1167579911 4 softbank221XXXXXXXXX.bbtec.net:20279 1167581351 1167579911 4 softbank221XXXXXXXXX.bbtec.net:20279 1167581575 1167578448 5 221.XXX.XX.XX:15779 1167581575 1167578448 5 221.XXX.XX.XX:15779 1167582286 1167536392 6 softbank219XXXXXXXXX.bbtec.net:24299 1167582286 1167536392 6 softbank219XXXXXXXXX.bbtec.net:24299 1167581575 1167578448 5 221.XXX.XX.XX:15779 1167582286 1167536392 6 softbank219XXXXXXXXX.bbtec.net:24299 1167582286 1167536392 6 softbank219XXXXXXXXX.bbtec.net:24299 1167585183 1167580392 7 gifX-pXX.flets.hi-ho.ne.jp:31800 1167586297 1167578664 8 softbank219XXXXXXXXX.bbtec.net:18001 1167587201 1167584562 9 tetkyoXXXXXX.tkyo.te.ftthX.ppp.infoweb.ne.jp:2500 1167581351 1167579911 4 softbank221XXXXXXXXX.bbtec.net:20279 1167587461 1167583961 10 pXXXX-ipadXXokidate.aomori.ocn.ne.jp:23198 1167582286 1167536392 6 softbank219XXXXXXXXX.bbtec.net:24299 1167588472 1167536392 11 softbank221XXXXXXXXX.bbtec.net:1976 1167588889 1167556404 12 ponXXX-XXX.kcn.ne.jp:31206 %
左から1カラム目は観測時刻、2カラム目はWinnyのキーに記載されていた「キー更新日時」である。3カラム目は、このファイルIDにおいて出現順に割り振ったノードのシリアル番号であり、4カラム目はノードのIPアドレスとポートの組である。3カラム目を見れば、同じノードが再びこのファイルのキーを送ってきたことがわかる。たとえば4番のノードが16個目に再び現れている。
そして、シリアル番号が 1番のノードが、最初にこのファイルのキーを送ってきたノードを意味するのだが、この集計の開始直後は、既にWinnyネットワーク全体に蔓延中のファイルを途中から観測している可能性が高いことから、上記のデータでは、1番のノードが放流元を意味するわけではない。
カラム1とカラム2の時刻を読み易い表示形式に変換したのが以下である。
% more filelog-%09fdce1365df9fc28dd921faXXXXXXXX.txt | tail +2 | strftime.rb | domain | head -5 20070101-004133 20061231-232044 1 softbank220XXXXXXXXX.bbtec.net:24062 20070101-004826 20061229-121110 2 pXXXX-ipadXXfukuhanazo.fukushima.ocn.ne.jp:30770 20070101-005848 20070101-003738 3 218-XXX-X-XX.eonet.ne.jp:22658 20070101-010911 20070101-004511 4 softbank221XXXXXXXXX.bbtec.net:20279 20070101-010913 20070101-004511 4 softbank221XXXXXXXXX.bbtec.net:20279 %
ここで注目したいのは、2番のノードが送ってきたキーの「キー更新時刻」が、1番のノードがキーを送ってきた時刻よりも先、つまり、2行目の2カラム目の時刻が1行目の1カラム目の時刻より古いという点である。これは、1行目のキーは放流直後の最初のキーを観測したものではないことを意味する(既に2番のノードが先に処理している)。また、2行目の2カラム目が1行目の2カラム目より古い。これも、1行目のキーは放流直後の最初のキーを観測したものではないことを意味する。
さて、昨年の2月にこんなニュースが世間を騒がせていた。
- Trojan.Pirlames, Technical Details, Symantec, February 23, 2007 7:42:06 PM (UTC-8?)
- Kanonのキャラがユーザーを脅す、新たなトロイの木馬をSymantecが警告, ITmedia, 2007年2月26日 14時48分
- 「Kanon」の画像を表示してWinnyユーザーに警告するトロイの木馬, INTERNET Watch, 2007年2月26日 18時43分
- Winnyネットワークを狙う新ウイルス - 米Symantec, マイコミジャーナル, 2007年2月26日
これはP2P-DESTROYER Pro(ウィキペディアの解説)というツールによって、ファイル名偽装などの細工がなされているという。(略)これらの感染活動から推定すると、当該ウイルスはいわゆる「原田ウイルス」(ウィキペディアの解説)の亜種と思われる。
Symantecに掲載された時刻は(PST (UTC-8) だとすれば)日本時間で 24日の昼の12時42分にあたる。前回の日記では、たまたま2007年2月23日 09:43 にWikipediaの投稿記録があったことから、この日における 218.228.201.103 のWinny稼働状況ついて調べたところ、「kanon 第21話」といった番組名を含むウイルス(拡張子偽装)ファイルが公衆送信可能化されている様子が観測されていたと判明したことについて書いた。「kanon」なる番組の放送日について調べてみると、はてなキーワードの「京アニKanon」によれば、21話は 2月22日の深夜(23日の早朝)に放送されたようである。
これらを踏まえて、2007年2月1日以降のデータを集計し、2月23日前後の記録を調べてみた。
調査の対象としたのは、前回の日記で列挙した以下の21個のウイルスファイルである。
218.228.201.103:7777 %554cbea3db36eaf4ea5c656c39bfac90 [映画] ナイト・ミュージアム (2007年 TS-SCREEN x264 日本語字幕誰か付けて〜ww).avi .exe 218.228.201.103:7777 %4e36d43aa015e19537c35225cf4a9bb4 [映画] ナイト・ミュージアム (2007年公開 DivX651日本語字幕=アナル男爵).avi .SCR 218.228.201.103:7777 %302ad3d3df1506f0f526b10dfc1da79c (映画) ナイト・ミュージアム (divx521)(lameMP3).avi .exe 218.228.201.103:7777 %dc82ac69cf98cba77cbb43b588aadfbd kanon 第21話 「君のいない輪舞曲〜ronde〜」 (704x396 DivX5.11 120fps).avi .SCR 218.228.201.103:7777 %1fc51810a286b073dc4683108ecc2501 kanon 第21話 「君のいない輪舞曲〜ronde〜」 (BS-i 1280x720 x264 120fps).avi .exe 218.228.201.103:7777 %8e0c1d6ad457fe70ec372e9562ecbbaa kanon 第21話 「君のいない輪舞曲〜ronde〜」 (704x396 DivX651 120fps LameMP3 Audio).avi .exe 218.228.201.103:7777 %ff8acb98c8d4dc2c923c2df1e828d1c4 kanon 第21話 「君のいない輪舞曲〜ronde〜」 (BS-i 704x396 DivX6.22 120fps).avi .exe 218.228.201.103:7777 %e1c80536b3a52749a24c9ea3e74f0348 kanon 第21話 「君のいない輪舞曲〜ronde〜」 (704x396 x264).avi .exe 218.228.201.103:7777 %02693f2d6b8cc77ba57d93419a724189 (映画) さくらん (2007年 土屋アンナ 椎名桔平 成宮寛貴他 DivX5.21).avi .SCR 218.228.201.103:7777 %cd73db972fa17ff77179cf76e8e68091 コードギアス 反逆のルルーシュ 第18話 「枢木スザク に 命じる」 (MBS 640x440 DivX6.51 120fps).avi .exe 218.228.201.103:7777 %50491a8fbad29323f982acdab40cdefb [アニメ](CD) コードギアス 反逆のルルーシュ 2期OP ジン 「解読不能」 (CD LameMP3 192kbps).zip .SCR 218.228.201.103:7777 %576e4d9b8700f79ed27489406bac7b88 (映画)(洋画) エラゴン 意志を告ぐ者 (XviD1.1.0beta2 lamemp3 日本語吹き替え版).avi .SCR 218.228.201.103:7777 %25a105abd98b59b1ba9e8d0680aa56a8 (映画)(洋画) 2007米 スパイダーマン3 (BitTorrent輸入 XviD1.1.0beta 字幕無し).avi .COM 218.228.201.103:7777 %a263ffc30bd28870cd537bc51e2db1e7 [アニメ] コードギアス 反逆のルルーシュ 第18話 「枢木スザク に 命じる」 (CBC-D 640x448 DivX6.51).avi .SCR 218.228.201.103:7777 %8065f1d441cadbabc2fe6fefc225e90b [アニメ] デスノート DEATH NOTE 第19話 「松田」 (704x396 wmv9 120fps).avi .SCR 218.228.201.103:7777 %08d0c6e3afc19cdb8c49d34519a59691 (映画)(アニメ) 2007年 ドラえもん のび太と新魔界大冒険〜7人の魔法使い〜 (CAM DivX6.40 lamemp3).avi .SCR 218.228.201.103:7777 %be8821efd2780e779a98714f329b48ad [アニメ] デスノート DEATH NOTE 第19話 「松田」 (CTV 1280x720 DivX651+AC3).avi .exe 218.228.201.103:7777 %e4693e0eba8db3bb671cd54a2ebd6a1d 【映画】2007 シュレック3 (CAM DivX640 日本語字幕 by アナル男爵).avi .exe 218.228.201.103:7777 %2dc1b87786478b69ed7ccc60affd713a (アニメ) kanon カノン 第21話 「君のいない輪舞曲〜ronde〜」 (BS-i 1280x720 DivX6.51 120fps).avi .exe 218.228.201.103:7777 %d63e7a26cfe33a3382e41119d99e3662 (映画) ドラえもん のび太の新魔界大冒険 〜7人の魔法使い〜 (2007年 DivX6.51 撮影:インパルス堤下).avi .com 218.228.201.103:7777 %e4693e0eba8db3bb671cd54a2ebd6a1d 【映画】2007 シュレック3 (CAM DivX640 日本語字幕 by アナル男爵).avi .exe
(右にスクロールすると本当に拡張子が表示される)
これらの各ファイルについて、前述の集計を行った結果を以下に示す。以下、順に1つずつ検討する。
% more filelog-%554cbea3db36eaf4ea5c656c39bfac90.txt | strftime.rb [映画] ナイト・ミュージアム (2007年 TS-SCREEN x264 日本語字幕誰か付けて〜ww).avi .exe 20070222-074415 20070222-072030 1 125.XXX.XXX.XXX:32341 20070223-033526 20070222-182349 2 218.228.201.103:7777 20070224-173804 20070224-153138 3 221.XXX.XXX.XXX:26176 20070224-203236 20070224-174244 3 221.XXX.XXX.XXX:26176 20070224-205851 20070224-174244 3 221.XXX.XXX.XXX:26176 20070224-214509 20070224-201534 3 221.XXX.XXX.XXX:26176 20070224-222123 20070224-174244 4 218.XXX.XXX.XXX:7745 20070225-023357 20070225-011013 4 218.XXX.XXX.XXX:7745 20070225-024054 20070225-011013 4 218.XXX.XXX.XXX:7745 20070225-025232 20070224-153138 2 218.228.201.103:7777 20070225-030054 20070225-011013 4 218.XXX.XXX.XXX:7745 20070225-030104 20070225-011013 4 218.XXX.XXX.XXX:7745 20070302-111214 20070302-093858 2 218.228.201.103:7777 20070302-133735 20070302-121249 2 218.228.201.103:7777 %
これは、(2月1日から集計して)このファイルIDのキーが初めて出現したのがこの1行目の時刻であったことを意味する。2行目に 218.228.201.103:7777 が現れている。1番のノードが放流元の可能性も否定されないが、必ずしもそうとは限らない。観測密度が薄いために、20070222-074415 より早い時刻に送信されたキーを観測し損ねた可能性もある。
% more filelog-%4e36d43aa015e19537c35225cf4a9bb4.txt | strftime.rb [映画] ナイト・ミュージアム (2007年公開 DivX651日本語字幕=アナル男爵).avi .SCR 20070222-040817 20070222-015308 1 221.XXX.XXX.XXX:28800 20070222-042817 20070222-034323 2 61.XXX.XXX.XXX:5742 20070222-045446 20070222-033959 3 125.XXX.XXX.XXX:22389 20070222-082948 20070222-044154 2 61.XXX.XXX.XXX:5742 20070222-083141 20070222-075344 4 219.XXX.XXX.XXX:11420 20070222-103326 20070222-090402 4 219.XXX.XXX.XXX:11420 20070222-110319 20070222-103242 4 219.XXX.XXX.XXX:11420 20070222-120428 20070222-045327 5 219.XXX.XXX.XXX:27505 20070222-140313 20070221-224913 6 59.XXX.XXX.XXX:4176 20070223-020238 20070222-225600 4 219.XXX.XXX.XXX:11420 20070223-020431 20070222-225600 4 219.XXX.XXX.XXX:11420 20070223-020644 20070222-225600 7 60.XXX.XXX.XXX:3664 20070223-030935 20070222-225600 8 125.XXX.XXX.XXX:15678 20070223-031251 20070223-013806 9 122.XXX.XXX.XXX:29648 20070223-032440 20070222-215351 8 125.XXX.XXX.XXX:15678 20070223-034647 20070223-005844 10 218.228.201.103:7777 20070223-035952 20070222-215351 10 218.228.201.103:7777 20070223-043412 20070223-040423 8 125.XXX.XXX.XXX:15678 20070223-050333 20070222-215351 11 121.XXX.XXX.XXX:90 20070223-050740 20070223-042157 11 121.XXX.XXX.XXX:90 20070223-051008 20070223-040423 11 121.XXX.XXX.XXX:90 20070223-053750 20070223-040423 4 219.XXX.XXX.XXX:11420 20070223-055819 20070223-042157 4 219.XXX.XXX.XXX:11420 20070223-060053 20070223-042157 12 221.XXX.XXX.XXX:11000 20070223-060449 20070223-042157 4 219.XXX.XXX.XXX:11420 (略) 20070401-215647 20070401-063805 1403 218.XXX.XXX.XXX:22709 20070401-230719 20070401-220302 1404 221.XXX.XXX.XXX:4431 20070401-231100 20070401-134725 1402 58.XXX.XXX.XXX:25816 20070401-231536 20070401-135957 1165 61.XXX.XXX.XXX:16544 20070401-231610 20070401-203111 854 221.XXX.XXX.XXX:6669 20070401-234307 20070401-212720 1405 124.XXX.XXX.XXX:24202 20070401-235257 20070401-224538 1405 124.XXX.XXX.XXX:24202 %
これは、2行目の2カラム目の時刻が、1行目の1カラム目より古いことから、1行目のキーは放流直後のキーではないことが言える。放流元を観測し損ねた事例と言える。
そして末尾を見ると、2007年4月1日までの集計で、1405ノードにも拡散していた(観測できた範囲で)ことがわかる。
% more filelog-%302ad3d3df1506f0f526b10dfc1da79c.txt | strftime.rb (映画) ナイト・ミュージアム (divx521)(lameMP3).avi .exe 20070223-035003 20070222-080538 1 218.228.201.103:7777 20070224-222123 20070224-145545 2 219.XXX.XXX.XXX:11420 20070224-223913 20070224-145545 2 219.XXX.XXX.XXX:11420 20070224-233957 20070224-145545 2 219.XXX.XXX.XXX:11420 20070225-022121 20070224-145545 3 220.XXX.XXX.XXX:2269 20070225-023357 20070224-145545 3 220.XXX.XXX.XXX:2269 20070225-024056 20070224-145545 3 220.XXX.XXX.XXX:2269 20070225-030054 20070224-145545 3 220.XXX.XXX.XXX:2269 20070225-030104 20070224-145545 3 220.XXX.XXX.XXX:2269 20070225-044619 20070224-145545 2 219.XXX.XXX.XXX:11420 20070225-102044 20070225-062817 2 219.XXX.XXX.XXX:11420 20070226-230405 20070226-032945 4 211.XXX.XXX.XXX:29237 20070301-220737 20070301-121415 5 125.XXX.XXX.XXX:6422 20070306-013228 20070226-032945 6 219.XXX.XXX.XXX:29237 20070306-235123 20070226-032945 7 61.XXX.XXX.XXX:7122 20070307-000620 20070226-032945 7 61.XXX.XXX.XXX:7122 %
1番ノードが 218.228.201.103:7777 になっている。2行目の2カラム目は1行目より新しい。1番ノードが放流元である可能性は否定されない。また、1行目と2行目の時刻の差が 42時間以上も開いていることから、1番が放流元である可能性はそこそこ高いのではないかと思われる。これはもしかすると、放流元をを観測できた事例かもしれない。
また、これは、2007年3月7日を最後にそれ以降(2007年4月1日まで)このファイルIDのキーは観測されなかったことを意味しているので、このウイルスはほとんど拡散しなかったと推定できる。(観測できた範囲では、7つのノードしか保有していることを確認できなかったと言える。)
% more filelog-%dc82ac69cf98cba77cbb43b588aadfbd.txt | strftime.rb kanon 第21話 「君のいない輪舞曲〜ronde〜」 (704x396 DivX5.11 120fps).avi .SCR 20070218-234318 20070218-202420 1 218.228.201.103:7777 20070219-181923 20070219-161550 2 122.XXX.XXX.XXX:16850 20070222-045929 20070221-060136 3 125.XXX.XXX.XXX:24556 20070222-062218 20070222-050423 4 220.XXX.XXX.XXX:8080 20070222-100257 20070222-091009 5 124.XXX.XXX.XXX:7743 20070222-112927 20070222-110551 5 124.XXX.XXX.XXX:7743 20070222-114153 20070222-111218 6 222.XXX.XXX.XXX:9891 20070222-130312 20070222-120135 7 122.XXX.XXX.XXX:25334 20070222-134557 20070222-120135 7 122.XXX.XXX.XXX3:25334 20070222-143303 20070222-110551 7 122.XXX.XXX.XXX:25334 20070223-025703 20070223-003016 8 125.XXX.XXX.XXX:1830 20070223-032325 20070223-025053 9 61.XXX.XXX.XXX:1671 20070223-033136 20070223-010336 10 221.XXX.XXX.XXX:3495 20070223-034006 20070223-013029 9 61.XXX.XXX.XXX:1671 20070223-034716 20070223-013029 9 61.XXX.XXX.XXX:1671 20070223-035001 20070221-014849 11 203.XXX.XXX.XXX:11500 20070223-035839 20070223-013029 12 121.XXX.XXX.XXX:23528 20070223-035912 20070223-013029 13 125.XXX.XXX.XXX:23432 20070223-042201 20070223-034551 14 58.XXX.XXX.XXX:5262 20070223-043539 20070223-013029 9 61.XXX.XXX.XXX:1671 20070223-050334 20070223-042015 15 121.XXX.XXX.XXX:7144 20070223-051431 20070222-204713 16 60.XXX.XXX.XXX:5704 20070223-052048 20070222-235253 15 121.XXX.XXX.XXX:7144 20070223-052156 20070223-033226 16 60.XXX.XXX.XXX:5704 20070223-052755 20070223-003016 8 125.XXX.XXX.XXX:1830 (略) 20070313-205832 20070311-212021 95 202.XXX.XXX.XXX:7099 20070314-090422 20070312-105630 94 124.XXX.XXX.XXX:11223 20070316-174937 20070316-090926 96 220.XXX.XXX.XXX:32727 20070316-174954 20070316-090926 96 220.XXX.XXX.XXX:32727 20070318-031122 20070312-053723 97 220.XXX.XXX.XXX:19847 20070319-213234 20070319-001319 98 122.XXX.XXX.XXX:11560 20070320-144131 20070319-001319 99 211.XXX.XXX.XXX:24125 20070327-162203 20070316-090935 100 202.XXX.XXX.XXX:7099 20070328-044347 20070223-032423 101 222.XXX.XXX.XXX:32677 %
またしても、1番ノードが 218.228.201.103:7777 になっている。2行目との時間差は18時間40分。この後2日半ほど間を置いた後、3番〜7番ノードに1時間ほどごとに拡散して行き、23日の午前3時ごろから急速に多数のノードに拡散していった様子が窺える。その後も、3月末まで細々とどこかのノードに存在し続け、4月1日までに101のノードに拡散していたことがわかる。(観測できた範囲では。以下同様。)
% more filelog-%1fc51810a286b073dc4683108ecc2501.txt | strftime.rb kanon 第21話 「君のいない輪舞曲〜ronde〜」 (BS-i 1280x720 x264 120fps).avi .exe 20070219-083513 20070219-080041 1 218.XXX.XXX.XXX:5000 20070219-121951 20070219-112142 2 125.XXX.XXX.XXX:11228 20070222-035405 20070221-070830 3 203.XXX.XXX.XXX:30313 20070222-040305 20070221-234005 4 222.XXX.XXX.XXX:9891 20070222-071029 20070221-182913 5 122.XXX.XXX.XXX:25334 20070222-080215 20070221-182913 6 124.XXX.XXX.XXX:6304 20070222-110549 20070222-103507 5 122.XXX.XXX.XXX:25334 20070222-110553 20070222-103507 5 122.XXX.XXX.XXX:25334 20070222-141851 20070222-132427 5 122.XXX.XXX.XXX:25334 20070222-152635 20070222-145832 7 219.XXX.XXX.XXX:26907 20070223-020301 20070222-195101 8 121.XXX.XXX.XXX:9477 20070223-020320 20070222-195101 9 218.XXX.XXX.XXX:1702 20070223-021404 20070222-195101 10 221.XXX.XXX.XXX:23139 20070223-025703 20070223-015134 11 60.XXX.XXX.XXX:5704 20070223-025747 20070223-015134 11 60.XXX.XXX.XXX:5704 20070223-025935 20070222-195101 12 222.XXX.XXX.XXX:26628 20070223-032457 20070223-010438 11 60.XXX.XXX.XXX:5704 20070223-033726 20070223-002456 13 221.XXX.XXX.XXX:18843 20070223-034003 20070223-015134 11 60.XXX.XXX.XXX:5704 20070223-035411 20070223-015134 12 222.XXX.XXX.XXX:26628 20070223-040356 20070223-015134 12 222.XXX.XXX.XXX:26628 20070223-050033 20070223-040919 12 222.XXX.XXX.XXX:26628 20070223-050120 20070222-195101 14 125.XXX.XXX.XXX:32512 20070223-050455 20070223-040919 15 121.XXX.XXX.XXX:7144 20070223-050629 20070223-045132 14 125.XXX.XXX.XXX:32512 20070223-051431 20070223-015134 16 210.XXX.XXX.XXX:14644 20070223-054207 20070223-040919 17 125.XXX.XXX.XXX:11364 20070223-054829 20070223-002456 18 125.XXX.XXX.XXX:23432 20070223-061455 20070223-060053 18 125.XXX.XXX.XXX:23432 20070223-061955 20070223-040611 18 125.XXX.XXX.XXX:23432 20070223-062357 20070223-040919 19 124.XXX.XXX.XXX:30889 20070223-062948 20070223-002456 12 222.XXX.XXX.XXX:26628 20070223-063640 20070223-053108 20 124.XXX.XXX.XXX:10050 20070223-063640 20070223-053108 20 124.XXX.XXX.XXX:10050 20070223-064059 20070223-061814 21 124.XXX.XXX.XXX8:20581 20070223-065046 20070223-050806 20 124.XXX.XXX.XXX:10050 20070223-065046 20070223-050806 20 124.XXX.XXX.XXX:10050 20070223-065330 20070223-060659 12 222.XXX.XXX.XXX:26628 20070223-070028 20070223-063452 14 125.XXX.XXX.XXX:32512 20070223-070752 20070223-042321 11 60.XXX.XXX.XXX:5704 20070223-071050 20070223-064343 11 60.XXX.XXX.XXX:5704 20070223-071500 20070223-054842 22 122.XXX.XXX.XXX:16850 20070223-072349 20070223-060922 22 122.XXX.XXX.XXX:16850 20070223-072952 20070223-040611 12 222.XXX.XXX.XXX:26628 20070223-073311 20070223-002456 22 122.XXX.XXX.XXX:16850 20070223-073319 20070223-002456 22 122.XXX.XXX.XXX:16850 20070223-073817 20070223-053108 23 61.XXX.XXX.XXX:20854 20070223-073937 20070223-050806 22 122.XXX.XXX.XXX:16850 20070223-074443 20070223-054309 8 121.XXX.XXX.XXX:9477 20070223-074618 20070223-060659 24 222.XXX.XXX.XXX:22258 20070223-075247 20070223-002456 8 121.XXX.XXX.XXX:9477 20070223-082402 20070223-073222 11 60.XXX.XXX.XXX:5704 20070223-085103 20070222-093110 25 219.XXX.XXX.XXX:6176 20070223-085359 20070223-081125 26 218.228.201.103:7777 20070223-085737 20070223-002456 25 219.XXX.XXX.XXX:6176 (略) 20070329-233557 20070312-035137 93 218.XXX.XXX.XXX:11949 20070331-175029 20070224-154216 94 61.XXX.XXX.XXX:7741 20070401-210648 20070401-102147 95 222.XXX.XXX.XXX:26247 20070404-200238 20070224-154216 96 58.XXX.XXX.XXX:6100 %
この事例では、218.228.201.103:7777 は26番目のノードとしてようやく現れる。これが、放流元を観測し損ねた結果(20070218 に流れたキーを観測できなかった)なのか、それとも本当にこの1番ノードが放流元なのか、判断する材料はない。
また、この例でも、23日の午前2時ごろから急速に拡散していった様子が窺える。
% more filelog-%8e0c1d6ad457fe70ec372e9562ecbbaa.txt | strftime.rb 第21話 「君のいない輪舞曲〜ronde〜」 (704x396 DivX651 120fps LameMP3 Audio).avi .exe 20070223-022629 20070222-221948 1 60.XXX.XXX.XXX:5704 20070223-022636 20070222-221948 1 60.XXX.XXX.XXX:5704 20070223-025703 20070222-221948 1 60.XXX.XXX.XXX:5704 20070223-070029 20070223-020617 2 220.XXX.XXX.XXX:9412 20070223-071500 20070223-022126 3 220.XXX.XXX.XXX:6885 20070223-073629 20070223-022126 4 58.XXX.XXX.XXX:9876 20070223-073937 20070223-020617 5 210.XXX.XXX.XXX:28251 20070223-074046 20070223-025620 3 220.XXX.XXX.XXX:6885 20070223-075401 20070222-221948 6 219.XXX.XXX.XXX:17332 20070223-075515 20070223-022126 4 58.XXX.XXX.XXX:9876 20070223-081014 20070223-020617 4 58.XXX.XXX.XXX:9876 20070223-083931 20070223-022126 7 125.XXX.XXX.XXX:23432 20070223-084539 20070223-022126 8 125.XXX.XXX.XXX:2265 20070223-085103 20070223-020617 9 219.XXX.XXX.XXX:6176 20070223-085400 20070223-020617 10 218.228.201.103:7777 (略)
2番ノードの最初(4行目)の2カラム目が1行目よりも古いので、これは放流元の観測に失敗した事例。
% more filelog-%ff8acb98c8d4dc2c923c2df1e828d1c4.txt | strftime.rb kanon 第21話 「君のいない輪舞曲〜ronde〜」 (BS-i 704x396 DivX6.22 120fps).avi .exe 20070223-021713 20070222-222356 1 220.XXX.XXX.XXX:6885 20070223-022630 20070222-222356 2 60.XXX.XXX.XXX:5704 20070223-022637 20070222-222356 2 60.XXX.XXX.XXX:5704 20070223-023425 20070223-021149 3 218.XXX.XXX.XXX:1702 20070223-025703 20070223-021928 1 220.XXX.XXX.XXX:6885 20070223-033036 20070222-222356 4 125.XXX.XXX.XXX:23432 20070223-034004 20070223-021928 4 125.XXX.XXX.XXX:23432 (略) 20070223-085401 20070223-064622 15 218.228.201.103:7777 (略)
これも同様に失敗した事例。
% more filelog-%e1c80536b3a52749a24c9ea3e74f0348.txt | strftime.rb kanon 第21話 「君のいない輪舞曲〜ronde〜」 (704x396 x264).avi .exe 20070223-025703 20070222-223849 1 58.XXX.XXX.XXX:10000 20070223-070752 20070223-022353 2 125.XXX.XXX.XXX:23432 20070223-071500 20070223-022353 2 125.XXX.XXX.XXX:23432 20070223-073522 20070223-022353 3 219.XXX.XXX.XXX:17332 20070223-074558 20070223-022353 4 218.XXX.XXX.XXX:20479 20070223-080403 20070223-022004 3 219.XXX.XXX.XXX:17332 20070223-085103 20070223-022353 5 121.XXX.XXX.XXX:14656 20070223-092250 20070223-022004 6 218.228.201.103:7777 (略)
これは、観測に失敗したのか1番ノードが放流元なのかわからない事例。
% more filelog-%02693f2d6b8cc77ba57d93419a724189.txt | strftime.rb (映画) さくらん (2007年 土屋アンナ 椎名桔平 成宮寛貴他 DivX5.21).avi .SCR 20070208-115743 20070206-102146 1 59.XXX.XXX.XXX:19104 20070208-173614 20070206-102146 1 59.XXX.XXX.XXX:19104 20070208-202748 20070208-185532 1 59.XXX.XXX.XXX:19104 20070209-101635 20070209-061449 2 222.XXX.XXX.XXX:4467 20070209-101635 20070209-061449 2 222.XXX.XXX.XXX:4467 20070211-074301 20070211-033834 3 125.XXX.XXX.XXX:22516 (略) 20070217-052441 20070217-020814 14 218.228.201.103:7777 20070217-144438 20070217-143252 14 218.228.201.103:7777 (略) 20070401-180817 20070401-154541 377 210.XXX.XXX.XXX:9906 20070401-181556 20070401-164627 377 210.XXX.XXX.XXX:99065 20070401-194855 20070401-185201 377 210.XXX.XXX.XXX:99065 20070401-194909 20070401-185201 377 210.XXX.XXX.XXX:99060 20070401-194910 20070401-185201 377 210.XXX.XXX.XXX:99068 20070401-194910 20070401-185201 377 210.XXX.XXX.XXX:99068 20070401-203208 20070401-123659 348 220.XXX.XXX.XXX:24905 20070401-213416 20070325-023152 127 210.XXX.XXX.XXX:21264 20070401-214230 20070322-061001 378 218.XXX.XXX.XXX:82359 20070401-230415 20070401-222939 373 210.XXX.XXX.XXX:16800 20070401-230614 20070327-091420 379 61.XXX.XXX.XXX:20898 20070401-232235 20070326-193903 332 220.XXX.XXX.XXX:6925 %
これも、観測に失敗したのか1番ノードが放流元なのかわからない事例。もしかすると、これは 218.228.201.103:7777 による放流ではないのかもしれない。
なお、このファイルは4月1日までに379ノードにも拡散しており、拡散速度もこの時点では衰えていない様子が見られる。
% more filelog-%cd73db972fa17ff77179cf76e8e68091.txt | strftime.rb コードギアス 反逆のルルーシュ 第18話 「枢木スザク に 命じる」 (MBS 640x440 DivX6.51 120fps).avi .exe 20070223-021927 20070223-013909 1 210.XXX.XXX.XXX:1905 20070223-022113 20070223-004922 2 222.XXX.XXX.XXX:17128 20070223-023233 20070223-020750 1 210.XXX.XXX.XXX:1905 20070223-024211 20070223-003646 3 220.XXX.XXX.XXX:5346 20070223-024526 20070223-012507 3 220.XXX.XXX.XXX:5346 20070223-024958 20070223-011443 2 222.XXX.XXX.XXX:17128 20070223-025000 20070223-011443 2 222.XXX.XXX.XXX:17128 20070223-032257 20070223-023945 4 221.XXX.XXX.XXX:7224 20070223-032342 20070223-025851 2 222.XXX.XXX.XXX:17128 20070223-032425 20070222-221057 3 220.XXX.XXX.XXX:5346 20070223-032444 20070223-004922 5 124.XXX.XXX.XXX:7743 20070223-032606 20070222-221057 3 220.XXX.XXX.XXX:5346 20070223-040349 20070222-221057 6 220.XXX.XXX.XXX:16576 20070223-043039 20070223-024607 7 221.XXX.XXX.XXX:2002 20070223-044941 20070223-041452 8 210.XXX.XXX.XXX:5434 20070223-052306 20070223-035644 9 211.XXX.XXX.XXX:28665 20070223-080333 20070223-071348 10 60.XXX.XXX.XXX:7317 20070223-084444 20070223-013521 11 203.XXX.XXX.XXX:19816 20070223-085015 20070223-083834 12 210.XXX.XXX.XXX:23144 20070223-100132 20070223-085932 12 210.XXX.XXX.XXX:23144 20070223-105741 20070223-100309 13 218.228.201.103:7777 20070223-105832 20070223-103120 12 210.XXX.XXX.XXX:23144 20070223-112046 20070223-111354 12 210.XXX.XXX.XXX:23144 20070223-114505 20070223-091028 9 211.XXX.XXX.XXX:28665 20070223-125807 20070223-093024 14 210.XXX.XXX.XXX:14550 20070223-131205 20070223-093024 14 210.XXX.XXX.XXX:14550 20070223-142318 20070223-080033 15 220.XXX.XXX.XXX:26885 20070223-144218 20070223-125651 9 211.XXX.XXX.XXX:28665 20070223-161120 20070223-021055 16 58.XXX.XXX.XXX:8501 20070223-174506 20070223-163559 17 58.XXX.XXX.XXX:25000 20070223-191055 20070223-175354 12 210.XXX.XXX.XXX:23144 20070223-235318 20070223-233109 18 219.XXX.XXX.XXX:21648 20070224-010142 20070224-000745 19 203.XXX.XXX.XXX:17301 20070224-045608 20070224-041911 20 125.XXX.XXX.XXX:8934 20070224-052654 20070223-233109 21 122.XXX.XXX.XXX:11936 20070224-175921 20070224-071210 22 221.XXX.XXX.XXX:2001 20070224-192335 20070224-162030 2 222.XXX.XXX.XXX:17128 20070225-211036 20070225-150426 23 61.XXX.XXX.XXX:17743 20070226-223535 20070226-220941 24 218.XXX.XXX.XXX:17732 20070227-031945 20070226-065233 25 220.XXX.XXX.XXX:4363 20070228-133406 20070223-114040 26 219.XXX.XXX.XXX:7109 20070228-220321 20070223-201509 27 121.XXX.XXX.XXX:8501 20070301-115144 20070223-114040 28 121.XXX.XXX.XXX:25296 20070301-115147 20070223-114040 28 121.XXX.XXX.XXX:25296 20070301-221404 20070225-031753 2 222.XXX.XXX.XXX:17128 20070302-011523 20070301-073814 24 218.XXX.XXX.XXX:17732 20070302-025505 20070301-074108 29 221.XXX.XXX.XXX:12203 20070303-012403 20070225-150426 8 210.XXX.XXX.XXX:5434 %
2番ノードの最初の2カラム目が1行目よりも古いので、これは放流元の観測に失敗した事例。なぜか3月3日で拡散が途絶えた事例。
% more filelog-%50491a8fbad29323f982acdab40cdefb.txt | strftime.rb [アニメ](CD) コードギアス 反逆のルルーシュ 2期OP ジン 「解読不能」 (CD LameMP3 192kbps).zip .SCR 20070201-003514 20070201-001407 1 222.XXX.XXX.XXX:28339 20070201-003952 20070131-214303 2 219.XXX.XXX.XXX:1168 20070201-004016 20070131-225523 3 222.XXX.XXX.XXX:11421 20070201-004418 20070131-225304 2 219.XXX.XXX.XXX:1168 20070201-010333 20070201-000553 4 210.XXX.XXX.XXX:24545 (略) 20070211-120308 20070211-104646 127 60.XXX.XXX.XXX:7777 (略)
これは、最初の日付が2月1日となっており、集計開始直後であることから、それより前から既に蔓延していたファイルであると思われる。
% more filelog-%576e4d9b8700f79ed27489406bac7b88.txt | strftime.rb (映画)(洋画) エラゴン 意志を告ぐ者 (XviD1.1.0beta2 lamemp3 日本語吹き替え版).avi .SCR 20070202-231002 20070202-211032 1 218.XXX.XXX.XXX:6113 20070203-084804 20070202-211032 1 218.XXX.XXX.XXX:6113 20070203-121654 20070203-115319 2 218.XXX.XXX.XXX:19105 20070204-100742 20070204-072052 1 218.XXX.XXX.XXX:6113 20070205-061436 20070125-174659 3 43.XXX.XXX.XXX:19366 20070206-014410 20070125-225705 4 59.XXX.XXX.XXX:1986 (略) 20070218-220514 20070218-180658 22 218.228.201.103:7777 (略)
これも上と同じ状況のようだ。
% more filelog-%25a105abd98b59b1ba9e8d0680aa56a8.txt | strftime.rb (映画)(洋画) 2007米 スパイダーマン3 (BitTorrent輸入 XviD1.1.0beta 字幕無し).avi .COM 20070201-023956 20070131-232316 1 60.XXX.XXX.XXX:6257 20070201-023958 20070131-232316 1 60.XXX.XXX.XXX:6257 20070201-024000 20070131-232316 1 60.XXX.XXX.XXX:6257 20070201-025106 20070131-232316 1 60.XXX.XXX.XXX:6257 20070201-033633 20070131-232316 1 60.XXX.XXX.XXX:6257 20070201-041108 20070131-232316 2 58.XXX.XXX.XXX:6257 20070201-073248 20070131-232316 3 58.XXX.XXX.XXX:6257 20070201-084348 20070131-232316 4 218.XXX.XXX.XXX:19103 20070201-093859 20070201-083542 5 219.XXX.XXX.XXX:27932 20070201-093900 20070201-083542 5 219.XXX.XXX.XXX:27932 (略) 20070215-181117 20070215-081806 93 218.228.201.103:7777 (略)
これも上と同じ状況。
% more filelog-%a263ffc30bd28870cd537bc51e2db1e7.txt | strftime.rb [アニメ] コードギアス 反逆のルルーシュ 第18話 「枢木スザク に 命じる」 (CBC-D 640x448 DivX6.51).avi .SCR 20070218-225306 20070218-201634 1 222.XXX.XXX.XXX:24585 20070218-234245 20070218-233431 2 202.XXX.XXX.XXX:18824 20070218-235737 20070218-201634 3 219.XXX.XXX.XXX:28421 20070219-000204 20070218-201634 1 222.XXX.XXX.XXX:24585 20070219-000727 20070218-201634 2 202.XXX.XXX.XXX:18824 20070219-001240 20070218-221830 1 222.XXX.XXX.XXX:24585 20070219-011350 20070218-234244 4 220.XXX.XXX.XXX:26885 20070219-015203 20070219-010900 4 220.XXX.XXX.XXX:26885 20070219-020115 20070218-201634 5 220.XXX.XXX.XXX:26763 20070219-022139 20070219-001403 6 211.XXX.XXX.XXX:30264 (略) 20070219-133302 20070219-084549 21 218.228.201.103:7777 (略)
これは、観測に失敗したのか1番ノードが放流元なのかわからない事例。
% more filelog-%8065f1d441cadbabc2fe6fefc225e90b.txt | strftime.rb [アニメ] デスノート DEATH NOTE 第19話 「松田」 (704x396 wmv9 120fps).avi .SCR 20070219-095052 20070219-091756 1 218.228.201.103:7777 20070222-032832 20070221-204211 2 124.XXX.XXX.XXX:11419 20070222-042554 20070221-212916 3 221.XXX.XXX.XXX:7743 20070222-043803 20070222-032445 4 59.XXX.XXX.XXX:17886 20070222-045141 20070221-232212 4 59.XXX.XXX.XXX:17886 20070222-052439 20070220-224939 5 218.XXX.XXX.XXX:11156 20070222-052858 20070222-004450 6 125.XXX.XXX.XXX:7743 20070222-055716 20070222-044709 4 59.XXX.XXX.XXX:17886 (略) 20070324-165106 20070223-194013 123 124.XXX.XXX.XXX:27846 20070325-144823 20070317-130320 124 122.XXX.XXX.XXX:23733 20070328-225746 20070320-215039 125 219.XXX.XXX.XXX:27344 20070330-234523 20070325-174443 124 122.XXX.XXX.XXX:23733 20070401-130135 20070314-154629 126 124.XXX.XXX.XXX:28824 %
218.228.201.103:7777 が1番ノードになっている。2行目までの時間差が66時間も開いている。これは放流元を観測できた事例ではないだろうか。
4月1日まで拡散し続けて、126ノードまで広がっている。
% more filelog-%08d0c6e3afc19cdb8c49d34519a59691.txt | strftime.rb (映画)(アニメ) 2007年 ドラえもん のび太と新魔界大冒険〜7人の魔法使い〜 (CAM DivX6.40 lamemp3).avi .SCR 20070223-155918 20070223-143632 1 218.228.201.103:7777 20070224-060454 20070224-050034 2 221.XXX.XXX.XXX:30931 20070224-085431 20070224-014731 3 125.XXX.XXX.XXX:22295 20070224-161725 20070224-151555 2 221.XXX.XXX.XXX:30931 20070225-013345 20070225-001030 2 221.XXX.XXX.XXX:30931 20070226-025904 20070226-022449 4 121.XXX.XXX.XXX:5533 20070226-045156 20070226-025007 5 219.XXX.XXX.XXX:17880 20070227-130608 20070227-074210 6 61.XXX.XXX.XXX:13704 20070227-224332 20070227-220206 7 219.XXX.XXX.XXX:17880 20070227-230548 20070227-221212 8 122.XXX.XXX.XXX:32341 20070227-230551 20070227-221212 8 122.XXX.XXX.XXX:32341 20070228-233052 20070228-225911 1 218.228.201.103:7777 20070301-122917 20070301-042245 1 218.228.201.103:7777 20070302-152540 20070302-125209 9 58.XXX.XXX.XXX:15860 20070302-214356 20070302-185848 9 58.XXX.XXX.XXX:15860 20070302-214359 20070302-185848 9 58.XXX.XXX.XXX:15860 20070303-192244 20070228-034253 10 221.XXX.XXX.XXX:32341 20070305-012959 20070228-013220 11 219.XXX.XXX.XXX:17880 20070306-215923 20070306-190517 9 58.XXX.XXX.XXX:15860 20070310-155750 20070310-144449 12 59.XXX.XXX.XXX:1035 20070310-184354 20070310-183620 13 220.XXX.XXX.XXX:7072 20070310-193451 20070310-144449 14 59.XXX.XXX.XXX:1986 20070310-205659 20070310-193932 13 220.XXX.XXX.XXX:7072 20070311-053408 20070310-204504 15 220.XXX.XXX.XXX:5501 20070311-110356 20070311-095023 16 219.XXX.XXX.XXX:10000 %
これも、218.228.201.103:7777 が1番ノードになっている。2行目までの時間差は14時間。放流元を観測できたのかもしれない。
3月11日まで16ノードに拡散して終了したようだ。
% more filelog-%be8821efd2780e779a98714f329b48ad.txt | strftime.rb [アニメ] デスノート DEATH NOTE 第19話 「松田」 (CTV 1280x720 DivX651+AC3).avi .exe 20070222-034334 20070222-030634 1 220.XXX.XXX.XXX:12047 20070222-041339 20070221-020248 2 210.XXX.XXX.XXX:7743 20070222-044907 20070222-041708 1 220.XXX.XXX.XXX:12047 20070222-045141 20070221-223305 1 220.XXX.XXX.XXX:12047 20070222-060309 20070222-015905 3 210.XXX.XXX.XXX:17524 20070222-063824 20070222-050218 4 61.XXX.XXX.XXX:29974 (略) 20070223-155919 20070223-095917 22 218.228.201.103:7777 (略)
放流元の観測に失敗した事例。
% more filelog-%e4693e0eba8db3bb671cd54a2ebd6a1d.txt | strftime.rb 【映画】2007 シュレック3 (CAM DivX640 日本語字幕 by アナル男爵).avi .exe 20070208-031447 20070205-130425 1 59.XXX.XXX.XXX:19104 20070208-115123 20070205-130425 1 59.XXX.XXX.XXX:19104 20070209-121616 20070209-021151 2 60.XXX.XXX.XXX:7777 20070209-175842 20070209-162804 3 125.XXX.XXX.XXX:19918 20070211-110032 20070211-090307 2 60.XXX.XXX.XXX:7777 20070214-164559 20070214-113717 4 60.XXX.XXX.XXX:15288 20070214-195228 20070214-113717 4 60.XXX.XXX.XXX:15288 20070215-095443 20070215-082137 5 61.XXX.XXX.XXX:30776 20070215-172513 20070215-123730 6 121.XXX.XXX.XXX:10284 20070217-195643 20070216-003241 7 219.XXX.XXX.XXX:7500 20070217-195645 20070216-003241 7 219.XXX.XXX.XXX:7500 20070222-125005 20070222-050305 8 58.XXX.XXX.XXX:28680 20070222-125006 20070222-050305 8 58.XXX.XXX.XXX:28680 20070223-055328 20070223-014208 9 61.XXX.XXX.XXX:30776 20070223-171214 20070223-155002 10 218.228.201.103:7777 20070223-202328 20070223-055525 9 61.XXX.XXX.XXX:30776 20070223-235541 20070223-232156 10 218.228.201.103:7777 20070224-020830 20070223-233604 10 218.228.201.103:7777 20070224-064409 20070224-042308 11 219.XXX.XXX.XXX:19725 20070224-120121 20070224-055933 10 218.228.201.103:7777 20070224-120122 20070224-055933 10 218.228.201.103:7777 20070224-120128 20070224-055933 10 218.228.201.103:7777 20070224-201417 20070224-184046 12 60.XXX.XXX.XXX:18475 20070224-231146 20070224-211646 13 219.XXX.XXX.XXX:3141 20070225-130649 20070225-124419 10 218.228.201.103:7777 (略) 20070325-125647 20070325-011252 30 220.XXX.XXX.XXX:3548 20070325-203447 20070325-011252 30 220.XXX.XXX.XXX:3548 %
観測に失敗したのか1番ノードが放流元なのかわからない事例。もしかすると、これは 218.228.201.103:7777 による放流ではないのかもしれない。あるいは、2月より前から流れていたものかもしれない。
% more filelog-%2dc1b87786478b69ed7ccc60affd713a.txt | strftime.rb (アニメ) kanon カノン 第21話 「君のいない輪舞曲〜ronde〜」 (BS-i 1280x720 DivX6.51 120fps).avi .exe 20070222-111401 20070222-102657 1 202.XXX.XXX.XXX:12391 20070222-114153 20070222-091307 2 222.XXX.XXX.XXX:9891 20070222-140452 20070222-112123 3 122.XXX.XXX.XXX:25334 20070222-141041 20070222-133128 3 122.XXX.XXX.XXX:25334 20070223-022629 20070223-001100 4 60.XXX.XXX.XXX:5704 (略) 20070223-203801 20070223-131924 59 218.228.201.103:7777 (略)
観測に失敗した事例。
% more filelog-%d63e7a26cfe33a3382e41119d99e3662.txt | strftime.rb (映画) ドラえもん のび太の新魔界大冒険 〜7人の魔法使い〜 (2007年 DivX6.51 撮影:インパルス堤下).avi .com 20070223-212355 20070223-190414 1 218.228.201.103:7777 20070224-120121 20070224-034626 1 218.228.201.103:7777 20070224-120123 20070224-034626 1 218.228.201.103:7777 20070224-120128 20070224-034626 1 218.228.201.103:7777 20070226-075921 20070226-065054 2 211.XXX.XXX.XXX:4259 20070227-004302 20070224-082043 3 122.XXX.XXX.XXX:6502 20070227-053815 20070227-043749 4 58.XXX.XXX.XXX:32100 20070227-053827 20070227-043749 4 58.XXX.XXX.XXX:32100 20070228-171547 20070228-111520 1 218.228.201.103:7777 20070301-111816 20070301-095121 1 218.228.201.103:7777 20070301-194849 20070301-175734 5 121.XXX.XXX.XXX:3463 %
218.228.201.103:7777 が1番ノードになっている。2番ノードまでの時間差は 58時間。放流元を観測できた事例ではないか。
% more filelog-%e4693e0eba8db3bb671cd54a2ebd6a1d.txt | strftime.rb 【映画】2007 シュレック3 (CAM DivX640 日本語字幕 by アナル男爵).avi .exe 20070208-031447 20070205-130425 1 59.XXX.XXX.XXX:19104 20070208-115123 20070205-130425 1 59.XXX.XXX.XXX:19104 20070209-121616 20070209-021151 2 60.XXX.XXX.XXX:7777 20070209-175842 20070209-162804 3 125.XXX.XXX.XXX:19918 20070211-110032 20070211-090307 2 60.XXX.XXX.XXX:7777 20070214-164559 20070214-113717 4 60.XXX.XXX.XXX:15288 20070214-195228 20070214-113717 4 60.XXX.XXX.XXX:15288 20070215-095443 20070215-082137 5 61.XXX.XXX.XXX:30776 20070215-172513 20070215-123730 6 121.XXX.XXX.XXX:10284 20070217-195643 20070216-003241 7 219.XXX.XXX.XXX:7500 20070217-195645 20070216-003241 7 219.XXX.XXX.XXX:7500 20070222-125005 20070222-050305 8 58.XXX.XXX.XXX:28680 20070222-125006 20070222-050305 8 58.XXX.XXX.XXX:28680 20070223-055328 20070223-014208 9 61.XXX.XXX.XXX:30776 20070223-171214 20070223-155002 10 218.228.201.103:7777 20070223-202328 20070223-055525 9 61.XXX.XXX.XXX:30776 20070223-235541 20070223-232156 10 218.228.201.103:7777 20070224-020830 20070223-233604 10 218.228.201.103:7777 20070224-064409 20070224-042308 11 219.XXX.XXX.XXX:19725 20070224-120121 20070224-055933 10 218.228.201.103:7777 20070224-120122 20070224-055933 10 218.228.201.103:7777 20070224-120128 20070224-055933 10 218.228.201.103:7777 (略) 20070325-203447 20070325-011252 30 220.XXX.XXX.XXX:3548 %
観測に失敗したのか1番ノードが放流元なのかわからない事例。もしかすると、これは 218.228.201.103:7777 による放流ではないのかもしれない。あるいは、2月より前から流れていたものかもしれない。
以上の21個の事例をまとめると次のようになる。
表2: 21個の拡張子偽装ファイルに対する放流元分析の結果
| 事例 | 観測失敗か | 既に蔓延中か | 1番が当該ノードか |
|---|---|---|---|
| 1 | No | ||
| 2 | 観測失敗 | ||
| 3 | Yes | ||
| 4 | Yes | ||
| 5 | No | ||
| 6 | 観測失敗 | ||
| 7 | 観測失敗 | ||
| 8 | No | ||
| 9 | No | ||
| 10 | 観測失敗 | ||
| 11 | 既に蔓延中 | ||
| 12 | 既に蔓延中 | ||
| 13 | 既に蔓延中 | ||
| 14 | No | ||
| 15 | Yes | ||
| 16 | Yes | ||
| 17 | 観測失敗 | ||
| 18 | No | ||
| 19 | 観測失敗 | ||
| 20 | Yes | ||
| 21 | No |
既に蔓延しているタイミングのケースと、観測に失敗しているとわかるケースを除く、12例のうち、218.228.201.103:7777 が1番ノードとして観測されたものが 5例もあった。
これほどまでに高い確率でそのような観測ができるとは予想しなかった。駄目元でやった実験だったが、期待以上の結果となった。
私が自宅でやっているこのcrawlerは、1本の回線を使い、1台の古いノートPCで運用しているという、非力なシステムである。それでもここまでの結果が出た。業務でこの種の調査を行っているところは、数十回線を数十台のコンピュータで並列稼動させ、数分でWinnyネットワークを一巡するほどの勢いで監視しているのかもしれない。そうであれば、高い精度で放流元を特定できるシステムになっているのではないだろうか。
■ 追記
上の追跡方法を自動化して、すべてのファイル(すべての拡張子偽装ファイル)を対象に、その放流元っぽいWinnyノードを洗い出してみた。
集計してみると次の表の通りとなった。
表3: 2007年2月1日〜4月1日の全拡張子偽装ファイルに対する放流元分析の結果
| 対象ファイル | 単発キー | 観測失敗 | 観測成功かも |
|---|---|---|---|
| 339,909 | 218,725 | 72,404 | 48,780 |
2007年の2月1日〜4月1日に受信したキーを対象に、拡張子を偽装したファイル名のファイルをハッシュID毎に集計したところ、33万9千種のファイル(ハッシュID)を観測した。うち、21万8千種は、2番のノードが現れなかった(1つのノードからの発信しか観測できなかった)もので、これは観測が十分でないものとして除外し、残りのうち、7万2千種は前述の手順で「観測に失敗した事例」と判断したもの(2番のノードの方が時刻が早い、もしくは、集計開始日から10日以上経過していないもの)であった。
残りの 4万8千種が、放流元ノードを特定できているかもしれないものであるわけだが、これも特定できているものばかりとは限らない。そこで、この4万8千種のファイルについて、1番ノードとして観測されたノードの頻度を集計してみた。
以下はその上位ノードである。左端から、順位、頻度数、ノードを表す。
1 1359 202.231.XXX.XXX:XXXXX
2 361 219.116.XXX.XXX:XXXXX
3 349 60.56.XXX.XXX:XXXXX
4 333 202.78.XXX.XXX:XXXXX
5 304 220.214.XXX.XXX:XXXXX
6 303 219.53.XXX.XXX:XXXXX
7 278 219.4.XXX.XXX:XXXXX
8 240 219.104.XXX.XXX:XXXXX
9 236 202.138.XXX.XXX:XXXXX
10 218 221.80.XXX.XXX:XXXXX
(略)
46 114 218.228.201.103:7777
47 114 203.135.XXX.XXX:XXXXX
48 110 210.148.XXX.XXX:XXXXX
49 108 210.229.XXX.XXX:XXXXX
50 106 219.112.XXX.XXX:XXXXX
このように、2か月弱の間に千個とか、数百個ものファイルに対して1番ノードとして出現するという現象は、偶然に起きているとは考えにくい。少なくともこれらはウイルス(拡張子偽装ファイル)放流の常習者だと言えるのではないだろうか。
なお、上で調べた 218.228.201.103:7777 は、この期間中に 114個ものファイルに対して1番ノードとして観測されていた。
頻度の分布を確認するため、上位200ノードをグラフにしてみた。横軸がノードの並びで、縦軸は各ノードの度数である。矢印は 218.228.201.103:7777 のノードを指す。
図1: 2007年2月1日〜4月1日の全拡張子偽装ファイルに対する放流元分析で
1番ノードとして観測されたノードの頻度分布
1番ノードとして観測されたノードの頻度分布
それにしても、こんなにもたくさんの人達(ノード)が拡張子偽装ファイルを放流しているのだろうか? 「何回以上の頻度で1番ノードとして観測されたら放流元である疑いが濃い」といった検討が必要そうだ。「放流元でないのに1番ノードとして観測され易いノード」というものがあるとすれば、それははどういうものだろうか。ウイルスファイルを専門に自動ダウンロードしている(そしてそれを送信可能化している)輩だろうか。
追記(4日)
しまった。「被参照量」を使うことをすっかり忘れていた。次週末に再調査予定。
本日のTrackBacks(全100件)
[TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20080202]
- はてなブックマークコメント ×82 : 55, 13, 3, 2, 2, 2, 1, 1, 1, 1, 1 (2016-09-28)
- http://bbs68.meiwasuisan.com/bbs/bin/read/news/1284005090/ ×5 (2010-09-09)
- http://mechag.asks.jp/144468.html ×146 (2009-11-06)
- はてなダイアリー [IGA-OS 20080205] ×2 : 1, 1 (2009-01-02)
- http://buzzurl.jp/entry/高木浩光@自宅の日記 - Winny媒介型ウイルスの放流元を追跡してみた... ×6 (2008-12-02)
- http://unkar.jp/read/tmp7.2ch.net/download/1195304296 ×7 (2008-08-19)
- ココログ [dole moe] ×10 : 5, 4, 1 (2008-07-23)
- http://www.heiwaboke.net/2ch/unkar02.php/tmp7.2ch.net/downlo... ×8 (2008-04-26)
- http://www.gem.hi-ho.ne.jp/hiromatsu/memo/securty/index.html... ×10 (2008-04-18)
- http://jbbs.livedoor.jp/bbs/i.cgi/school/1257/1195544306/ ×5 (2008-04-02)
- http://jbbs.livedoor.jp/school/1257/ ×21 (2008-04-01)
- http://mechag.asks.jp/144468.html?mode=reply ×4 (2008-03-31)
- mixi diary [258345] ×92 : 75, 9, 8 (2008-03-25)
- 2ちゃんねる掲示板 [download 1205587014] ×14 : 8, 2, 1, 1, 1, 1 (2008-03-17)
- 2ちゃんねる掲示板 [newsplus 1205530191] ×7 : 4, 2, 1 (2008-03-15)
- Tumblr [sho] ×2 : 1, 1 (2008-03-01)
- 2ちゃんねる掲示板 [newsplus 1203590209] ×13 : 5, 3, 2, 1, 1, 1 (2008-02-25)
- 2ちゃんねる掲示板 [download 1201405367] ×9 : 4, 2, 1, 1, 1 (2008-02-21)
- 2ちゃんねる掲示板 [news 1203571117] ×4 : 1, 1, 1, 1 (2008-02-21)
- fc2 blog [yaranaika69.blog88] ×224 (2008-02-21)
- http://bakera.jp/ebi/2008/2 ×15 (2008-02-19)
- http://bakera.jp/ebi/2008/2/3 ×20 (2008-02-17)
- はてなダイアリー [ringod 20080203] ×4 : 3, 1 (2008-02-16)
- 2ちゃんねる掲示板 [download 1195304296] ×4 : 1, 1, 1, 1 (2008-02-15)
- 2ちゃんねる掲示板 [download 1201224958] ×4 : 2, 1, 1 (2008-02-11)
- wslash.com ×8 : 5, 2, 1 (2008-02-08)
- http://ariel.s8.xrea.com/news/2008_02.htm ×124 (2008-02-08)
- 2ちゃんねる掲示板 [download 1192358409] ×2 : 1, 1 (2008-02-08)
- 2ちゃんねる掲示板 [download 1196351334] ×3 : 1, 1, 1 (2008-02-06)
- 2ちゃんねる掲示板 [news 1202133727] ×3 : 2, 1 (2008-02-05)
- mixi diary [7687634] ×5 : 3, 1, 1 (2008-02-05)
- カトゆー ×1134 : 1100, 33, 1 (2008-02-05)
- http://ariel.s8.xrea.com/index.htm ×92 (2008-02-05)
- セキュリティホールmemo ×1499 : 1370, 86, 28, 12, 3 (2008-02-04)
- livedoorクリップコメント ×5 (2008-02-04)
- http://blog.so-net.ne.jp/asthenosphere/2008-02-04 ×7 (2008-02-04)
- ime.nu /20080202.html ×198 (2008-02-04)
- http://bakera.jp/ebi ×114 (2008-02-04)
- http://exposy.blogdns.net:8080/~kirisaki/digimemo/2008/02/ps... ×5 (2008-02-04)
- http://exposy.blogdns.net:8080/~kirisaki/digimemo/ ×45 (2008-02-03)
- http://bakera.jp/ebi/topic/3073 ×202 (2008-02-03)
- http://www.asks.jp/users/mechag/144468.html ×67 (2008-02-03)
- mixi diary [188778] ×5 (2008-02-03)
検索
- winny 追跡 ×19 / winny ×8 / キーワード不明 ×7 / ウイルス 追跡 ×6 / winny ウイルス ×6 / P2P-Destroyer Pro ×6 / 追記 ×6 / winny 放流 ×5 / -hiromitsu.jp 高木浩光 winny ×4 / winny 更新時刻 ×4 / http://takagi-hiromitsu.jp/diary/20080202.html#p01 ×3 / ウィルス拡散事件 winny ×3 / filelog.exe ×3 / -hiromitsu.jp winny ×3 / winny ウィルス 拡張子 avi ×3 / ナイトミュージアム2 日本語字幕 torrent ×3 / avi.exe ×3 / xvid1.1 ×2 / http://takagi-hiromitsu.jp/diary/20080202.html ×2 / ある日付以降のデータを集計 ×2 / デスノート ウイルス ×2 / winny ウィルス ×2 / デスノート型ウィルス ×2 / 拡張子 scr Winny ×2 / Winny 追跡 ×2 / コードギアス 偽装ファイル ×2 / winny ハッシュ ×2 / cam winny ×2 / ルルーシュ winny 警告 ×2 / Winny ウイルス ×2 / winny キー更新日時 ×2 / winy ウイルス ×2 / (映画)(洋画) ナイトミュージアム2 (2009 Bittorrent輸入).avi ×2 / eonet winny ×2 / 1/7の魔法使い ウイルス ×2 / winny ノード追跡 ×2 / bbtec winny ×2 / 高木 winny ×2 / P2P-DESTROYER ×2 / P2P-DESTROYER ダウンロード ×2 / winny ウイルス zip ×2 / デスノート 1280x720 ×2 / 媒介 ×2 / kcn winny ×2 / ウィルス 追跡 ×2