ソニー、マイクロソフトを攻撃した「Lizzard Squad」 DDoSレンタルサービスを開始するも、ユーザー情報が漏洩

西方望

February 3, 2015 09:00
by 西方望

昨年8月、Lizard Squadを名乗るグループが、ソニーの運営するオンラインサービス「Playstation Network(PSN)」や、マイクロソフトの「Xbox Live」などゲーム系のサービスに対して大規模なDDoS攻撃(分散型サービス拒否攻撃)を行った。そして昨年のクリスマスに、Lizard Squadは再びPSNやXbox LiveにDDoS攻撃を実行した。今回はその後メンバーがインタビューに応じたり、Anonymousとの抗争になったり、逮捕者が出たりという展開になったが、その顛末については「Lizard SquadとAnonymousがクリスマスに泥仕合」に譲る。

クリスマスの攻撃は、時期が時期だけに昨年11月末のソニー・ピクチャーズへの攻撃と関連づけて報道したマスコミもあったが、セキュリティ関係者の多くは全くの別物と考えていたのではないか。Lizard Squadは、単にソニーに話題が集まっていることに便乗して攻撃を行ったものと思われる。ソニー・ピクチャーズへの攻撃が発生した当初も、8月の攻撃が引き合いには出されたものの、Lizard Squadが犯人という説はほとんど見られなかった。その理由は、Lizard Squadが幼稚に過ぎるという点にあるのだろう。

イスラム国を名乗ったり、爆破予告めいた書き込みをしたり、Anonymousに喧嘩を売ったりと、Lizard Squadの言説は子供じみている。これまでの行動を見る限り、もしLizard Squadがソニー・ピクチャーズ攻撃の犯人であれば、Twitterなどで勝ち誇ることは間違いない。その点だけでもLizard Squadの仕業とは考えにくい。ソニー・ピクチャーズを攻撃したGOPも、骸骨画像や挑発的なメッセージなど幼稚な行動を取ってはいるが、Lizard Squadはさらに程度が低いと言っていい。

また、技術レベルもGOPに比べるとだいぶん劣るように思える。DDoSというのはあまり芸のない攻撃であり、ハッカーコミュニティではむしろ馬鹿にされるような手法だ(新しい手口を発見すれば別だが)。また、DDoSで相手にダメージを与えることはできても、攻撃側はそれで一文の得になるわけではない。企業をDDoSで脅して金を要求するという手はあるものの、確実性が低いわりにリスクは高い。そもそもDDoS攻撃を実行するだけなら、以前の記事で解説したように、DDoS for hire、stresser、booterなどと呼ばれるDDoS攻撃のレンタルサービスを使えば誰でも可能なのだ。

とはいえPSNやXbox Liveを落とせるほどのDDoSは、レンタルではおそらく無理だ。自前で相当規模のボットネット(マルウェアに感染させた多数のコンピューターで構築されるネットワーク)を用意する必要があると思われる。つまりLizard Squadは大規模なボットネットを構築するための技術、すなわち見つかりにくいマルウェアの作成・拡散などの技術は持っているということになる。ただし、自力で構築したのではなく、アンダーグラウンドで購入するなど他の手段で入手した可能性もあり得る。

ボットネットは、さまざまな攻撃を行うのに不可欠ではあるものの、それだけで金を儲けるのは難しい。最も安全なのは、広告クリックやフォロワー水増しなど「数」を利用して稼ぐことだが、意外と金にならないようだし、運営側もこの類の手法は厳しく監視している。そこで、もっと確実かつ簡単にボットネットをマネタイズする手法として登場したのがbooterサービスだ。ボットネットを時間貸ししてDDoS攻撃を代行し、料金を徴収する。上掲記事でも書いたとおり、短期間で数万ドルを稼いだ例もあるそうだ。

しかしLizard Squadは、大規模なDDoS攻撃の能力を有していながら、今までbooterサービスを展開してはいなかった。インタビューでも、PSNなどを攻撃した理由は、単に面白いから(for the lulz)であり、稼ぐことに興味はないと述べている。ところが昨年の12月末になって、Lizard Squadは突然booterサイトをオープンし、今までの攻撃はこの宣伝だったと言い始めた。急に金儲けに走った理由は不明だが、クリスマスの攻撃を止めさせるために、あのキム・ドットコム氏がクラウドストレージのクーポン約30万ドル相当を提供したことで、欲が出てきたのだろうか。

Lizard Squadのbooterサイトでは、Xbox LiveやPSNを落とした実績を述べた上で、このstresserを使えば世界最大のDDoS攻撃能力を振るえると誇らしげに語っている。また、 平均で100~125Gbps、トータル600Gbpsの攻撃力があるという。過去最大とされるDDoS攻撃が400Gbps程度と言われており、この数字は少々眉唾ではある(Lizard Squadは、クリスマスの攻撃は1.2Tbpsだったと主張している)が、実績自体は間違いないところなので、確実にDDoSを実行したいユーザーにとっては魅力的だろう。ただし料金は、例えば100秒の攻撃が1月5.99ドル、3500秒(1時間弱)が1月44.99ドル・期限なし120ドルと、他のbooterより少々高目のようだ。また、支払い手段がBitcoinのみというのも珍しい。

ただ、筆者はこのサイトに最初にアクセスした際、強烈な既視感に襲われた。以前の記事でもbooterサイトは似通ったものが多いと書いたが、これは似ているというレベルではなく、既存の”ある”booterとほとんど同じなのだ。booterを追い続けている(そして目の敵にされている)セキュリティジャーナリストのブライアン・クレブス(Brian Krebs)氏によれば、Lizard Squadのbooterサイトのrobots.txtには、当初そのサイトのURLがそのまま記されていたという(参照:Lizard Kids: A Long Trail of Fail)。

要するに、他のサイトのソースを丸パクりしたというわけだ。先ほど例に挙げた100秒とか3500秒とかのラインナップ自体、パクり元そのまま。ただし料金は元サイトの方が安いし、支払い方法も多種用意されている。FAQを見ると攻撃力は平均5Gbps、トータル20Gbpsと先ほどと全く異なる数値となっているが、これも元サイトの文章をそのままコピーしているせいだ。こういった点も、Lizard Squadの技術力のなさ、不注意さを示していると言えるだろう。またrobots.txtのURLが現在クレブス氏のサイトのものに変更されていたり、各ページに「Sponsored by Brian Krebs」と記されていたりと、程度の低い(そして効果のない)嫌がらせをしているあたりも幼稚だ。

そして決定的にLizard Squadのレベルの低さが露呈したのが、booterがハックされてユーザーデータベースが漏洩してしまった事件だ。ハックしたのが誰かは不明だが、Anonymousかもしれないし、商売敵となる他のbooter運営者かもしれない。booter同士の抗争は珍しくないのだ。ただしLizard Squadは、ハックされたのではなく関係者が漏らしたものだと主張している。いずれにせよ、Lizard Squadのbooterに登録したユーザーのメールアドレスやパスワードはもちろん、攻撃した相手や攻撃方法、サポートとのやりとりなどが丸裸にされてしまった。以前の記事でも書いたが、こういうこともあり得るので、皆さんは迂闊にbooterを利用しようなどとは思わないことだ。

ITニュースサイトの『Ars Technica』がこのデータベースを調査したところ、登録者は1万3000人近くいたが、実際にサービスを利用したのは250人ほどだったとのこと。ほとんどは筆者同様野次馬だったわけだ。その250人のうち100回以上の攻撃を行ったのは30人。1人で1468回の攻撃を行ったユーザーもいるという。総攻撃回数は1万6000回弱、ターゲットは3900強のIPアドレス。67パーセントはWebサーバーへの攻撃で、次に多いのがポート25565への攻撃の7パーセントだった。このポートは、人気ゲーム「Minecraft」のサーバーで使用されるものだ(参照:A hacked DDoS-on-demand site offers a look into mind of “booter” users)。

なおクレブス氏の調査によれば、Lizard Squadのbooterは、家庭にあるルーターなどを多数ハックしたボットネットにより運用されているという(PSNなどを攻撃したものと同一かは不明)。マルウェアに感染して悪用される可能性があるのはPCだけではない。記事にもあるとおり、ルーターのセキュリティには十分気をつけるべきだ。また今後は、ネット家電などのデバイスが悪用される事例も増えていくだろう(参照:Lizard Stresser Runs on Hacked Home Routers)。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…