ブライアン・クレブスを襲った史上最大級のDDoS攻撃 (2) 15万サイトを攻撃した「vDOS」の秘密を暴く

江添 佳代子

October 18, 2016 10:01
by 江添 佳代子

そんなクレブスが、2016年9月8日のブログに掲載したのは「Israeli Online Attack Service ‘vDOS’ Earned $600,000 in Two Years」というタイトルの記事だった。その中で、彼は「vDOS」と呼ばれるサービスがサイバー攻撃の代行をしていることを断言し、その正体に深く切り込んでいる。彼の分析を紹介する前に、まずは「vDOS」について説明したい。

手軽に攻撃ができる「vDOS」サービス

「vDOS」が提供していたのは、表向きにはDDoS攻撃のストレステスト(いわゆる『stresser』)のサービスで、10Bbpsから50Gbps のUDPトラフィックに応じ、月額30ドルから200ドル(約3万円から20万円)の価格に分けられたパッケージ製品だった。より分かりやすく言うなら、「自分の環境がDDoS攻撃を受けたときの耐久性を確認するため、その環境に負荷テストを行うサービス」である。

このvDOSのウェブサイト(vDos-s.com)は既に削除されているが、アーカイブを確認するかぎり、そのシンプルなデザインには怪しさが感じられない。ぱっと見たところ合法的なビジネスを展開しているセキュリティ企業サイトのような風体だ。

vDOSのウェブサイト。怪しい雰囲気は感じられない

しかし実際のところ、vDOSの顧客の多くは、それを「他者のサイトに対して、手軽にDDoS攻撃を仕掛けられる代行サービス(いわゆる『booter』)として愛用していた。このようなbooterのサービスは他にも存在しているが、vDOSはサイバー犯罪者たちが集まるフォーラムでも、とりわけ「顧客への対応が迅速で親切である」として高い評価を受けていた。

vDOSは「vDos Stresser」というTwitterアカウントも開設している。ここでも彼らはvDOSを「stresser」として紹介し、堂々と「DDoS攻撃から身を守るため、vDOSをご利用ください」と宣伝する内容のツイートを発信している。しかし一方で、自己紹介の欄には「史上最高のbooter」とも記されているのがなかなか興味深い。実際のところ、このようなサービスの存在を知っている人々の多くは、stresserとbooterを明確に分けるものがないことを分かっているのだ。

vDOSは公式Twitterアカウントも開設

大半のDDoS攻撃を請け負ってきた「vDOS」

このvDOSのシステムに存在していた脆弱性を狙って、一人の匿名のセキュリティ研究者(クレブスの協力者)が攻撃を仕掛けた。その人物はvDOSのハッキングを通し、設定ファイルやデータベースを丸ごとダウンロードすることに成功している。それらのファイルを7月の終わりに入手したクレブスが、地道なデータ解析で導き出された事実をまとめた……というのが、今回の記事が掲載されるまでのいきさつである。

クレブスの説明によると、vDOSの首謀者はイスラエル在住の2人の若者だった。彼らがvDOSのサービスを開始したのは2012年9月。それから現在までに攻撃してきたサイトの数は15万以上にも及んでいるとクレブスは主張する。2016年3月までに実行された「攻撃のログ」はすべて消去されていたため、現時点では証明をすることはできないものの、「控えめに表現しても、この数年間のインターネットで起きたDDoS攻撃の大半はvDOSによるものだったと言えるだろう」と彼は語っている。

さらにvDOSの売り上げに関しては、「運営者が2014年から現在までの間に、少なくとも61万8000ドル(約6300万円)の利益を得ていたことは、ほぼ間違いなさそうだ」と記されている。2人の運営者が稼いだ金として考えれば決して少額ではない。しかし日頃からDDoS対策に追われている組織のセキュリティ担当者から見れば、「これほど多くの攻撃が、それっぽっちの利益のために?」と思うかもしれない(※)。

9月8日の時点でvDOS が受け付けていたのはBitcoinによる支払いのみだが、以前にはPayPalでの支払いにも対応していたことが記録に残されており、さらには「クレジットカードの決済」にすら応じていた時期もあるという(ちなみに上記のTwitterアカウントにも「カード決済を再開しました」というツイートが残されている)。ただしクレブスが入手したデータベースにはカード決済の記録が含まれていなかったため、実際にカードで代金を支払った顧客がいたのかどうかは分からない。

vDOSの2人の首謀者は、それぞれ「P1st(またはM30W)」と「AppleJ4ck(またはApple Jack)」というハンドルを用いて、主に「Hack Forums]」で宣伝活動を行っていた。Hack Forumsはオンラインで活動をしているハッカーたちの間では有名な一大コミュニティで、これまでThe ZERO/ONEに掲載されてきた一連のハッカーインタビューでも、複数の回答者が「最も興味深いハッキングコミュニティ」として名を挙げていたサイトだ。

vDOSがハッカーやスクリプトキディたちから高い評価を受けていた理由のひとつは、顧客を満足させるサポート体制だった。2人の首謀者は6つの異なる携帯電話を利用し、vDOSの顧客がいつでもSMS経由でサポートを受けられるようにしていた。しかし、その手厚いサービスは彼らが特定される原因ともなった。これらの電話番号(すべてイスラエルの番号)の所有者が「Itay Huri」と「Yarden Bidani」という2人の人物であることを確認したクレブスは、記事を掲載する前に2人のコメントを求めたものの、「いずれも応答しなかった」と説明している。

さらにクレブスが入手したデータベースには、vDOSの数万人の顧客、すなわち「vDOSに代金を支払って、サイバー攻撃を行っていた人々」のデータと、彼らが攻撃の標的としていたウェブサイトに関するデータも含まれていたという。しかし先述の記事の中で、それらの具体的な名前や内容について語られることはなかった。
 
その3に続く
 
※ とはいえ、最近では「DDoS攻撃の代行サービスは、意外と儲らない」と語られることが多い。今年の3月には、DDoS攻撃の緩和対策製品で知られている企業Arbor Networksの研究者が、「booterは割の良い商売ではない」ということを裏付けするような調査結果を発表した




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。

THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。


ビール祭りにやってきた犯罪者を「顔認識」で一網打尽

November 13, 2017 08:00

by 牧野武文

中国山東省青島市で開催された国際ビール祭りで、青島市開発区警察は、会場に顔認識システムを設置。公安部保有のデータベースと照合することで、犯罪者を抽出し、逮捕するという作戦を実行した。49名の逃亡犯、麻薬犯罪者、スリなどを逮捕する成果をあげたと『新浪科技』が伝えた。 10万人以上がやってくるイベント …

PacSec 2017レポートソフトバンクPepperが危険な理由

November 10, 2017 08:30

by 『THE ZERO/ONE』編集部

米国のセキュリティ企業「IOActive」に所属するセキュリティエンジニア、ルーカス・アパ氏が「スカイネットが来る前にロボットをハックする」と題してロボット、特に家庭向けの製品に関するセキュリティ・リスクについて「PacSec2017」で講演を行った。 家庭用のロボットはリスクだらけ ルーカス氏はネ…