ブライアン・クレブスを襲った史上最大級のDDoS攻撃 (3) 2年間で62万ドル稼いだ2少年

江添 佳代子

October 19, 2016 08:30
by 江添 佳代子

DDoS攻撃サービス「vDOS」の実態を暴く記事がKrebs on Securityに掲載された2016年9月8日、そのvDOsを運営していた容疑で2人の青年がイスラエル当局に逮捕された。彼らの名前、Itay HuriとYarden Bidani(いずれも18歳)は、Krebs on Securityが報じていた人物名と同じである。しかしイスラエル警察の広報担当者は、この逮捕が「彼らを捜査していたFBIの情報提供によるものだ」と地元の新聞社に語っている。

たまたまFBIが、クレブスとまったく同じ日に彼らを特定して逮捕することにしたのか、あるいはクレブスの分析を読んだFBIが、これまでの容疑を固めて逮捕に踏み切ったのか、もしくはクレブスの記事が公開されたために容疑者を泳がせておくことができなくなったのか、他に別の事情があったのかは知るよしもない。

14歳でサイバー犯罪のビジネスを開始

ともあれ、このvDOSを巡る事件は、Krebs on Securityに記事が掲載されてからわずか数時間後に運営者が逮捕され、サイトも閉鎖されるという慌ただしい展開を迎えた(彼らの逮捕を報じた英国BBCの記事)。HuriとBidaniはいずれも1万ドル(約100万円)ほどの保釈金を納めることで拘留は免れたものの、10日間の自宅軟禁の処分を受けることとなった。さらに彼らは当局者にパスポートを没収されており、インターネット、及びその他の通信機器の30日間の利用禁止を言い渡されている。

衝撃的なのは、首謀者たちの年齢だろう。クレブスが「イスラエルの若い男性」と説明していた2人は、まだ18歳だった。ここで前回に記したvDOSの説明を思い出していただきたい。vDOSがオンラインサービスの提供開始したのは2012年9月。つまりvDOSを開設したときの彼らは14歳で、文字通り「中二」の少年だったということになる。

未成年のハッカーやスクリプトキディがサイバー犯罪に携わる事件は、決して珍しくはない。たとえば2013年に史上最大のDDoS攻撃として世間を騒がせた Spamhausの襲撃事件でも、逮捕された「雇われハッカー」のSeth Nolan-Mcdonaghは犯行当時16歳だった。しかし「違法なDDoS攻撃を代行するサービスを、14歳の少年がビジネスとして立ち上げていた」というのは、ちょっと別次元の話だろう。

vDOSのビジネスモデル(booterの提供)も、昨今では珍しいものではなくなった。いまや多くのDDoS攻撃は、このような有料サービスによって手軽に行われるようになった(そのことは2014年10月に西方望氏も指摘している。参考:『初立件の高校生も利用 「1時間8ドル」DDoS攻撃代行の実態』)。しかし2012年の時点でその商売を確立し、数万人の顧客を獲得してきた彼らの手腕は相当なものだろう。「過去2年間だけで約62万ドル」という収益も、攻撃の規模を考えればそれほどボロ儲けには感じられないかもしれないが、中高生の小遣い稼ぎとしては途方もない額だ。

生意気盛りだった? 2人のキャラクター

そして、彼らにとって金儲けは二の次だったという可能性もある。尖ったハッカーが集まる一大コミュニティの中で、彼らは「信頼できるサービスの提供者」として名を知られ、頼りにされていた( Hack Forums 内の記述。そのように扱われることが、どれほどローティーンの自己顕示欲を満たしていたのかは察するに余りある。数万件、数十万件のウェブサイト(とりわけ大きな企業や組織のサイト)がvDOSによって落とされていく光景も、悪ふざけの好きな中高生にはさぞかし痛快な眺めだっただろう。

ルーマニア発のITニュースサイトSoftpediaは、Bidani(AppleJ4ck)が登録したと考えられているTwitterアカウントについても詳しく言及したこのアカウントはフォロワー数もわずかで、2015年3月の開設以降に二度のツイートを発信したきり放置されているため、大した影響力はないだろう。しかしツイートの内容は「米国防総省のウェブサイトにDDoS攻撃を仕掛けたこと」を主張する過激なものだった。このような言動も、彼らが逮捕される一因となったかもしれない。

その2つめのツイートは「@FBI」にメンションを飛ばす形で、ペンタゴンに対して行った自らの攻撃を伝え、「俺を逮捕してみろ、腰抜けども」と挑発している。その翌年に彼が逮捕されたというのは情けない話だが、当時の彼が16歳か17歳だったことを考慮すれば「まあ、調子に乗りたい年頃だから……」とも感じられる。

しかし英国のITニュースサイト『The Register』の報道によれば、首謀者の2人は、自身のビジネスが合法的なものと見なされるための工夫もしていたという。彼らはvDOSの顧客に対して「あなたが所有していない、あるいは権限を持っていないサーバーやインターネットでストレステストを行うことは禁止されています」と説明していた。さらに彼らは、つい先日にもイスラエルの電子雑誌でDDoS攻撃に関する技術論文を実名で発表していた

この少年たちは、「若くて賢いセキュリティの研究者」として活動しつつ、一方では「傍若無人な不良ハッカー」として金儲けをする、二面性を持ったキャラクターとして、グレーゾーンで生き残ろうとしたのではないだろうか。vDOSの活動については、「自分の環境をテストするためのサービスなので、たとえ我々の商品が悪用されたとしても、それは顧客の勝手な判断であり、我々に非はない」と言い逃れするつもりだったのだろう。しかしvDOSが大量の内部データを吐き出してしまった今、それがどれほど多くの不法行為に用いられていたのかを、首謀者の2人が知らなかったと主張することはできない。

そして彼らはFBIと地元当局の協働で逮捕され、vDOSのサービスは無事に中止される運びとなった。しかし「彼らの逮捕によって、vDOSを利用していたスクリプトキディたちも自らの行動を反省し、インターネットにしばしの平安が訪れました。めでたしめでたし」などといった単純な展開が望めるはずもない。

次回以降は、いよいよ「逮捕の翌日から開始された、Krebs on SecurityへのDDoS攻撃」について説明していきたいと思う。

その4に続く




1年に1度 ラスベガスで開催されるハッカー達のお祭りアジア勢が健闘したDEFCON 25 CTF&PHVレポート

September 19, 2017 08:00

by tessy

今年もDEF CONがアメリカ・ラスベガスで行われた。25回目の記念となるDEF CON25は昨年までのバリーズ、パリスと2つのホテルが会場となっていたが、今年はシーザース・パレスに変更され、7月27日から30日までの日程で開催された。 筆者も今回で9回目の参加であり、会場も4つ目となる。初めてDE…

46万5000台のペースメーカーに存在した脆弱性(後編)脆弱性情報は投資会社に伝えるほうが「うまくいく」のか?

September 15, 2017 08:00

by 江添 佳代子

前編記事→死に直結する医療機器のセキュリティホール Abbott Laboratories(旧St Jude Medical)のペースメーカーの脆弱性を最初に報告したのは、米国のスタートアップのセキュリティ企業MedSec Holdings(以下MedSec)だった。その発見は当時、珍しい展開のセキ…