初立件の高校生も利用 「1時間8ドル」DDoS攻撃代行の実態(1)

西方望

October 20, 2014 14:27
by 西方望

昨今では、中学生や高校生によるネット犯罪の類についてのニュースは珍しくない。とはいえそのほとんどは、犯行予告、自らの犯罪の暴露、誹謗中傷、ネットゲームのアイテム詐取、すぐに足が付くオークション詐欺、せいぜいパスワードを盗み見たり推測したりすることによる不正アクセスといった、文字どおり児戯に等しい程度のものだ。だが高校生がDDoS攻撃をしたという話になると、かなり趣が違うと言っていいだろう。

9月18日、警視庁サイバー犯罪対策課は、今年3月に東京のゲーム企業が運営するゲームサーバーに対してDDoS攻撃を行い接続障害を発生させたとして、16歳の高校1年生を電子計算機損壊等威力業務妨害容疑で書類送検したと発表した。DDoS攻撃の立件は国内初だという(むろん「立件」が初めてなだけだが)。

DDoS攻撃とは、分散型の(Distributed)DoS攻撃のことだが、そもそもDoSとは何なのか。「DoS」はDenial of Serviceの略で、一般的には「サービス拒否」と訳される。「拒否」というとサービスを提供する側が自発的に断るような印象を受けるかもしれないが、そうではない。多量のデータを送り付けるなどして、サービスが提供できない状態にする攻撃だ。話題になったウェブサイトや、人気チケットの予約などでアクセスが殺到して、つながりにくい状態、あるいは全くつながらない状態になっていたというのは誰しも経験したことがあると思う。それを人為的に起こすのがDoS攻撃だと考えればわかりやすいだろう。

DoS攻撃の最もシンプルな方法は、ウェブサイトの再読み込みを繰り返させることだ。多くのブラウザーは「F5」キーで再表示ができることから、俗に「F5攻撃」などとも呼ばれる。もちろん、1台のPCからどれだけ再読み込みしたとしても、その程度で影響が出るウェブサイトはまずない。しかし、多くの人が示し合わせて同時に実行すれば、相当の負荷を与えることができる。こうなると分散型の攻撃、すなわちDDoS攻撃といえる。

だが、もし多くの攻撃参加者を糾合できたとしても、F5攻撃ではあまりに効率が悪い。そこで大量の通信を発生させるツールを使うことになる。2ちゃんねるなどから発生したさまざまな「祭り」で活躍した「田代砲」や、Anonymousの武器として知られる「LOIC」などが有名だ。実際、これらのツールを使った多人数による攻撃でさまざまな被害が出た。

しかし、多くの人間が攻撃に参加する状況を作り出すのは容易ではない。もし人を集められたとしても、最初に攻撃を意図した人間でも状況を制御できなくなりがちだし、飽きるのも早い。やはり攻撃者としては、自分の攻撃したいサービスを攻撃したい時に攻撃できるというのが望ましいだろう。そこで使われるのが「ボットネット」だ。マルウェア(ボット)に感染させたPCで構築されたネットワーク(ボットネット)を操り、同時に多数のPCから攻撃を行うのだ。もしかしたら、あなたのPCにもボットが潜んでいて、知らぬ間にDDoS攻撃に荷担しているかもしれない。

ボットネットを使えば自由にDDoS攻撃ができるのみならず、攻撃者自身のIPアドレスがターゲットに知られることもない。だが、攻撃者はさらに悪賢い手法を使う。直接ターゲットを攻撃するのではなく、無関係なサーバーを利用するのだ。第三者サーバーに何らかのリクエストを送る際、送信者のIPアドレスをターゲットのものに偽装する。すると応答は第三者サーバーからターゲットに送られることになり、ボットを仕込んだPCのアドレスさえ知られることがない。さながら通信が第三者サーバーで「反射」するかのような攻撃なので、「リフレクション攻撃」と呼ばれる。

代表的なものが「DNSリフレクション攻撃」だ。DNS(Domain Name System)はホスト名を問い合わせるとIPアドレスを返すインターネットには不可欠なシステムだが、適切に設定されていないDNSサーバーは誰からのリクエストにも応えてしまうので、リフレクション攻撃に利用される。さらにこの際、リクエストよりずっと大きいサイズの応答を得られるため、こちらが送信したデータの何倍ものサイズを送り付けることになり、きわめて効率的にターゲットを攻撃できる。こういった手法は「増幅型(Amprification)攻撃」とも言われ、DNSサーバーを利用したものは「DNS amp攻撃」などと呼ばれる。

DNSサーバーと同様の問題は、NTP(Network Time Protocol)サーバーにも存在した。NTPはネットワーク上のタイムサーバーとPCの時間を同期させるものだが、今年の初め頃からNTPサーバーの脆弱性を利用した増幅型攻撃「NTP amp攻撃」が出現。これもDNS amp同様、リクエストよりはるかに大きい応答を得ることができ、一時期この攻撃が多発した。

今回、高校生がゲームサーバーを攻撃した3月はまさにこのNTP ampが「旬」だったころで、実際にこの攻撃が行われた。しかし、延べ1161台のサーバーから攻撃が行われたという規模からすれば、仲間を集めてといったレベルではなく、大したものではないにしろボットネットを利用したと考えるのが妥当だ。彼が自分でボットネットを構築したのか? あるいは以前このメルマガでも少し触れたが、アングラサイトで購入したのか?

実は、DDoS攻撃を代行してくれるサービスが多数存在するのだ。こういったサイトは名目上「サーバーの負荷テストサービス」の看板を掲げているところもあるが、ほとんどは堂々と「DDoS」を謳っている。適切な語で検索すれば、DDoS代行サイトはいくらでも見つかる。検索語はあえて書かないが、高校生レベルの英語力でもすぐ思いつきそうな程度のものだ(その手のサービスをズバリ指す単語もあり、こちらで検索した方が簡単だが、さすがに高校生は普通知るまい)。彼が検索で見つけたのかは不明だが、ともあれDDoS代行サイトで1時間あたり8ドルのサービスを購入して攻撃に及んだという。そんな値段で、と思うかもしれないが、以前には1時間2ドルのDDoSサービスが報じられたこともある(参照:Cheap Professional DDoS Service)。

もちろん価格は、どの程度の負荷を与えるかなどで変わってくる。1時間8ドルではさほどの攻撃ではないと思われるが、それでも小規模なゲームのサーバーを落とすには十分だったのだろう。

しかし、なぜ事が露見したのかはよくわからない。警視庁がどのDDoS代行サービスが使われたかまで突き止めている可能性もないとは言えないが、業者が依頼者を明かすとは考えにくい。報道では「(ゲーム会社の)サーバーの接続履歴から少年の関与が浮上した」とあるが、わざわざDDoS代行を頼んだうえで自分もDoS攻撃をするとは思えないので、これは通常の「接続」だろう。ちょうどDDoS攻撃の開始前と終了後のタイミングで接続していた、などで疑われたのかもしれない。いずれにせよ、どこから足が付くかはわからないので、「1時間たったの8ドルなら自分も使ってみよう」などとは思わないことだ。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…