初立件の高校生も利用 「1時間8ドル」DDoS攻撃代行の実態(3)

西方望

October 28, 2014 08:00
by 西方望

前回は、booterことDDoS攻撃代行サイトについて詳しく紹介した。わずかな料金で誰にでもDDoS攻撃が可能という実態がわかっていただけたと思う。しかし「わずかな料金」といってもそれをどうやって支払うのか。ネットサービスを購入する際の支払い手段として、最も一般的なのはクレジットカードだろうが、さすがにクレジットカードが使えるbooterはないようだ。利用する側にしても、こんな怪しいサイトにカード情報を渡す気にはなるまい。

この手の取引というと、近ごろはBitCoinをはじめとする暗号通貨(仮想通貨)を思い浮かべる人もいるかもしれない。たしかにBitCoinなどで支払えるbooterもあるが、ざっと見たところではせいぜい3分の1程度といったところか。ではどうやって支払うのかというと、ほとんどの……というか筆者が見た範囲ではすべてのbooterでPayPalが使えるのだ。数は少ないが、Google Walletや、Paysafecardなどの電子マネーに対応しているところもある。いずれにしても、要するに「普通」の支払い手段だ。

PayPalについては実際に利用されている人も多いと思うが、売り手と買い手を仲介し、相手にクレジットカード情報などを渡すことなく決済ができるサービスだ。PayPalを利用して買い物をするには、クレジットカードを登録するだけでよい。件の高校生は、親のクレジットカードでPayPalアカウントを取得したのかもしれない(18歳未満でもクレジットカードを持てないことはないが)。しかし売り手、つまり金を受け取れる側になるためには、PayPalによる本人確認を受ける必要がある。確認手段は国により異なるが、アメリカでは実在の銀行口座が必要だ(多くのbooterはアメリカが拠点と思われる)。

だが代行だろうと何だろうとDDoSを実行するというのは、日本はもちろんアメリカでも普通に考えれば犯罪だろう。つまり犯罪者であるbooterの運営者が、自分の口座をPayPalに教えて大丈夫なのだろうか? もし司直の手が伸びてきた場合、PayPalを通じて容易に本人が特定されてしまう可能性が高い。いやそれ以前に、なぜPayPalはbooter運営者のアカウントを停止しないのか。booterについてたびたび報じているセキュリティジャーナリストのBrian Krebs氏によると、あるbooterの運営者はPayPalを通じ3万5000ドルの収益を得たという(参照:Ragebooter: ‘Legit’ DDoS Service, or Fed Backdoor?)。

全くの余談となるが、以前このメルマガでもお伝えした新興セキュリティ企業Hold Securityが「ロシアのハッカーグループが12億件のパスワードを入手している」と発表した件を覚えておいでだろうか。多くのセキュリティ関係者が疑惑の目を向ける中、ほとんどただ1人、Hold Security創業者のAlex Holden氏を擁護したのがこのKrebs氏だった(Hold Securityのスペシャルアドバイザーを務めている)。しかし、だからといってKrebs氏が怪しげな人物というわけではなく、実績のある著名なジャーナリストだ。

話を元に戻そう。上掲のKrebs氏の記事でも、対価を受け取ってDDoSを実行するのは犯罪になるだろうという弁護士の見解や、PayPalアカウントはbooter運営者の口座と結びついているのだから警察が彼らを発見するのはたやすいはず、口座情報に虚偽があればPayPalはアカウントを凍結すべきだ、という専門家の意見が紹介されている。この記事に対してPayPalからは「通報があれば法執行機関と協力してアカウントを調査する。カスタマーを攻撃し違法にWebサイトを停止させる目的のみのツールの販売、配付に我々のサイトを使うことは容認しない」と回答があったという。

しかし、「カスタマーを攻撃」とか「ツールの販売、配付」とか、どうも話がかみ合っていない感が強い。どうやら、PayPalの対応の甘さが多くのbooterをのさばらせている大きな要因のようだ。

それにしても、違法である可能性が高いサービスにもかかわらず、多くのbooterは実に堂々としたものだ。サイトにメールアドレスやSkypeなどネット上の連絡先が記載されているのは普通で、booterによってはなんと会社名を名乗りアメリカ国内の住所と電話番号まで掲載しているところまである。さらに、Krebs氏が伝えるところによれば、あるbooterの運営者は、このサービスは合法であると主張しているという(参照:Ragebooter: ‘Legit’ DDoS Service, or Fed Backdoor?)。

しかしその論理は、自分たちは違法行為を推奨しておらず責任はユーザーにあるといった、お馴染みのものだ。もちろんそんな理屈は、警察や裁判所に通用するはずがないだろう。だがそうはいっても、実際にbooterが摘発されたという話は聞こえてこない。警察やFBIは何をやっているのだと思えてくるが、驚くことにこのbooter運営者は、自分はFBIで働いていると語ったというのだ。そのbooterサイトには、FBIによってユーザーのIPアドレスを収集するロガーも仕込まれているという。

ただ、その明確な証拠が示されているわけではなく、FBIで「働いている」というのはさすがに眉唾物だろう。しかし記事のコメントでも指摘されているように、FBIの「情報提供者」という可能性は十分に考えられる。刑の減免と引き替えにbooterや利用者の情報をFBIに流しているというわけだ。とはいえ、booterを利用するのはほとんどがスクリプトキディ以下の、自分では何もできないような子供と思われる。その程度の犯罪者を何人検挙したところで、ネットの安全には全く寄与すまい。むしろbooterが存在することによる害の方がはるかに大きいはずなので、FBIが単にユーザー情報収集のためだけにbooterを容認しているとは考えにくい。だがいずれにしても、booterサイトには迂闊にアクセスしない方が無難だ。

FBIの関与はともかくとしても、booterは多数存在し、きわめて安価に攻撃できてしまうのが現実である。そして当面この状況が好転するとも思えない。些細なことで誰かの恨みを買って、あるいは単なる愉快犯によって、あなたの会社のサーバーが明日大規模なDDoS攻撃を食らうかもしれないのだ。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…