ブライアン・クレブスを襲った史上最大級のDDoS攻撃 (2) 15万サイトを攻撃した「vDOS」の秘密を暴く

江添 佳代子

October 18, 2016 10:01
by 江添 佳代子

そんなクレブスが、2016年9月8日のブログに掲載したのは「Israeli Online Attack Service ‘vDOS’ Earned $600,000 in Two Years」というタイトルの記事だった。その中で、彼は「vDOS」と呼ばれるサービスがサイバー攻撃の代行をしていることを断言し、その正体に深く切り込んでいる。彼の分析を紹介する前に、まずは「vDOS」について説明したい。

手軽に攻撃ができる「vDOS」サービス

「vDOS」が提供していたのは、表向きにはDDoS攻撃のストレステスト(いわゆる『stresser』)のサービスで、10Bbpsから50Gbps のUDPトラフィックに応じ、月額30ドルから200ドル(約3万円から20万円)の価格に分けられたパッケージ製品だった。より分かりやすく言うなら、「自分の環境がDDoS攻撃を受けたときの耐久性を確認するため、その環境に負荷テストを行うサービス」である。

このvDOSのウェブサイト(vDos-s.com)は既に削除されているが、アーカイブを確認するかぎり、そのシンプルなデザインには怪しさが感じられない。ぱっと見たところ合法的なビジネスを展開しているセキュリティ企業サイトのような風体だ。

vDOSのウェブサイト。怪しい雰囲気は感じられない

しかし実際のところ、vDOSの顧客の多くは、それを「他者のサイトに対して、手軽にDDoS攻撃を仕掛けられる代行サービス(いわゆる『booter』)として愛用していた。このようなbooterのサービスは他にも存在しているが、vDOSはサイバー犯罪者たちが集まるフォーラムでも、とりわけ「顧客への対応が迅速で親切である」として高い評価を受けていた。

vDOSは「vDos Stresser」というTwitterアカウントも開設している。ここでも彼らはvDOSを「stresser」として紹介し、堂々と「DDoS攻撃から身を守るため、vDOSをご利用ください」と宣伝する内容のツイートを発信している。しかし一方で、自己紹介の欄には「史上最高のbooter」とも記されているのがなかなか興味深い。実際のところ、このようなサービスの存在を知っている人々の多くは、stresserとbooterを明確に分けるものがないことを分かっているのだ。

vDOSは公式Twitterアカウントも開設

大半のDDoS攻撃を請け負ってきた「vDOS」

このvDOSのシステムに存在していた脆弱性を狙って、一人の匿名のセキュリティ研究者(クレブスの協力者)が攻撃を仕掛けた。その人物はvDOSのハッキングを通し、設定ファイルやデータベースを丸ごとダウンロードすることに成功している。それらのファイルを7月の終わりに入手したクレブスが、地道なデータ解析で導き出された事実をまとめた……というのが、今回の記事が掲載されるまでのいきさつである。

クレブスの説明によると、vDOSの首謀者はイスラエル在住の2人の若者だった。彼らがvDOSのサービスを開始したのは2012年9月。それから現在までに攻撃してきたサイトの数は15万以上にも及んでいるとクレブスは主張する。2016年3月までに実行された「攻撃のログ」はすべて消去されていたため、現時点では証明をすることはできないものの、「控えめに表現しても、この数年間のインターネットで起きたDDoS攻撃の大半はvDOSによるものだったと言えるだろう」と彼は語っている。

さらにvDOSの売り上げに関しては、「運営者が2014年から現在までの間に、少なくとも61万8000ドル(約6300万円)の利益を得ていたことは、ほぼ間違いなさそうだ」と記されている。2人の運営者が稼いだ金として考えれば決して少額ではない。しかし日頃からDDoS対策に追われている組織のセキュリティ担当者から見れば、「これほど多くの攻撃が、それっぽっちの利益のために?」と思うかもしれない(※)。

9月8日の時点でvDOS が受け付けていたのはBitcoinによる支払いのみだが、以前にはPayPalでの支払いにも対応していたことが記録に残されており、さらには「クレジットカードの決済」にすら応じていた時期もあるという(ちなみに上記のTwitterアカウントにも「カード決済を再開しました」というツイートが残されている)。ただしクレブスが入手したデータベースにはカード決済の記録が含まれていなかったため、実際にカードで代金を支払った顧客がいたのかどうかは分からない。

vDOSの2人の首謀者は、それぞれ「P1st(またはM30W)」と「AppleJ4ck(またはApple Jack)」というハンドルを用いて、主に「Hack Forums]」で宣伝活動を行っていた。Hack Forumsはオンラインで活動をしているハッカーたちの間では有名な一大コミュニティで、これまでThe ZERO/ONEに掲載されてきた一連のハッカーインタビューでも、複数の回答者が「最も興味深いハッキングコミュニティ」として名を挙げていたサイトだ。

vDOSがハッカーやスクリプトキディたちから高い評価を受けていた理由のひとつは、顧客を満足させるサポート体制だった。2人の首謀者は6つの異なる携帯電話を利用し、vDOSの顧客がいつでもSMS経由でサポートを受けられるようにしていた。しかし、その手厚いサービスは彼らが特定される原因ともなった。これらの電話番号(すべてイスラエルの番号)の所有者が「Itay Huri」と「Yarden Bidani」という2人の人物であることを確認したクレブスは、記事を掲載する前に2人のコメントを求めたものの、「いずれも応答しなかった」と説明している。

さらにクレブスが入手したデータベースには、vDOSの数万人の顧客、すなわち「vDOSに代金を支払って、サイバー攻撃を行っていた人々」のデータと、彼らが攻撃の標的としていたウェブサイトに関するデータも含まれていたという。しかし先述の記事の中で、それらの具体的な名前や内容について語られることはなかった。
 
その3に続く
 
※ とはいえ、最近では「DDoS攻撃の代行サービスは、意外と儲らない」と語られることが多い。今年の3月には、DDoS攻撃の緩和対策製品で知られている企業Arbor Networksの研究者が、「booterは割の良い商売ではない」ということを裏付けするような調査結果を発表した




IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編)

March 24, 2017 08:00

by 江添 佳代子

IoTのヌイグルミ「CloudPets」のメーカーSpiral Toys社が、大量のユーザー情報を漏洩していたことが明らかとなった。 200万件以上の音声データがダダ漏れ 危険に晒されたのは82万人以上のCloudPetsユーザーのアカウント情報、および彼らがヌイグルミを利用する際に録音した「200…

POSマルウェアの恐怖 (3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか

March 22, 2017 08:00

by 牧野武文

第1回、第2回で紹介したように、POSレジに感染するマルウェアによるクレジットカード情報流出事件が米国を中心に相次いでいる。 POSマルウェアは、POSレジやPOSサーバー内の平文カード情報を含む個人情報を標的にする。カード情報セキュリティのグローバル基準PCI DSSでも、カード情報をメモリで処理…

中国公安部がハッカー集団を摘発し50億件の個人情報を押収

March 21, 2017 08:00

by 牧野武文

中国、『中安在線』『安徽商報』の報道によると、今年1月17日午前9時30分に、北京市、蚌埠(ほうふ)市、浙江省を始めとする14の省と直轄市で、大規模黒客(ハッカー)集団の一斉摘発が行なわれた。逮捕者は96名にのぼり、家宅捜索の結果、50億件を超える個人情報が押収された。逮捕者の中には、2007年に中…