ブライアン・クレブスを襲った史上最大級のDDoS攻撃 (5) 頼った先はGoogleのDDoS攻撃「保護」サービス

江添 佳代子

October 21, 2016 08:00
by 江添 佳代子

ブライアン・クレブスのブログ「Krebs on Security」は9月25日、「Google Project Shield」の保護サービスを利用してオンラインに復帰した。正確に言えば25日以降にも、サービスが安定するまでの間は一時的な不具合が確認されていたが、その後の運用状況は良好であるようだ。

「ニュースと表現の自由を守る」Google Project Shield

Google Project Shieldは、「ニュースサイトと表現の自由をDDoS攻撃から保護するために、Googleの技術を使った無料のサービス」と説明されている。具体的に言えば、ニュースを配信しているサイト、個人の活動家や慈善団体のサイト、選挙関連の情報を提供しているサイトなど、営利目的ではなく報道や情報発信に携わっている人々のウェブサイトを、DDoS攻撃から守るサービスだ。そういったウェブサイトは悪質な攻撃を受ける可能性が高く、また強力な後ろ盾を持たない場合が多いので、その運営者にとっては非常に頼りになる存在だろう。このProject Shieldの保護を得る際、サイトの管理者はホスティングの場所を移動する必要もない。ただしサービスを受けるためには申請が必要である。

DDoS攻撃から身を守るためのサービスを提供している企業は他にもある。しかし、クレブスは9月25日の記事の中で次のように語った。「自分のサイトがオフラインになったことを受け、私はDDoS攻撃の軽減を提供している複数の企業と話をした。そのうちの一社は『KrebsOnSecurityの2週間無料ホスティング』を申し出てくれたが、それが終了したあとに私がAkamaiで受けていたような保護を受けるには、年間15万ドルから20万ドル(約1560万円から2100万円)の費用がかかるだろうと語った」

そして彼は次のように続けている。「考えてみてほしい。このような保護の資金を賄える無所属のジャーナリストが、一体どれだけいるだろう? 他にも何社かのプロバイダーが協力を申し出てくれたが、これほど強烈な攻撃に耐えうるほどの体力が彼らにないことは明らかだった」。

実際、Akamaiのサポートを失って窮地に立たされていたときのクレブスのツイートには、「お気の毒に。私なら力になれると思うので連絡してほしい」といった内容のレスを複数のセキュリティ関係者が送っており、それはあたかも、人気のツイートに群がって転載の許可を求める日本の面白系ウェブサイトのようでもあった。しかし、どうやら彼らのオファーはクレブスの要求を満たすことができなかったようだ。

ともあれクレブスは、Googleが無料で提供している保護サービスを選んだ。「ピーク時620Gps」という攻撃の規模に、あのAkamaiでさえも匙を投げたKrebs on Securityの保護を、今後はGoogleが引き受けることになったというわけだ。このGoogleの素早い対応は、クレブスと多くのファンにとって非常に喜ばしいことだった。Googleの企業イメージも大いに向上したことだろう(ただし、ごく一部のファンは「Googleの言う『表現の自由』など信用に値しない」といった意見も示しているのだが)。

誰でも手軽に弾圧できる世界

復帰後に初めて掲載されたKrebs on Securityの記事のタイトルは「Democratization of Censorship(検閲/言論弾圧の民主化)」というものだった。それは昨今のDDoS攻撃がどれほど手軽に行われるようになったのかを指摘し、また、それが与える影響について警鐘を鳴らす内容となっている。

この記事の中でクレブスは、友人であるRoland Dobbins(DDoS対策で知られる米国企業Arbor Networksのプリンシパルエンジニア)の皮肉を引用した。「DDoS攻撃に関して言えば、『国家』も単なる攻撃者の一人だ。DDoS攻撃は『民間人』と『国家』の間に大いなる平等をもたらすものになった、というのが今日の現実である」

そしてクレブス自身も、米国の老舗メディア『The Boston Globe』で、Dobbinsの語った「現実」をより分かりやすい言葉で綴っている。「我々はいま、16歳の民間人がとんでもない威力を行使できる時代にいる。そのことはもっと人々に注目されるべきなのだが、そのようにならないことを私は恐れている」(※)

それがいかに恐ろしいのかは、今回の一件からも分かることだ。もしも攻撃者が「サーバーから個人情報を盗み出したい」「ウェブサイトを改ざんしたい」「ウェブサイトを乗っ取り、別の攻撃の踏み台にしたい」などの目的で攻撃を仕掛ける場合であれば、相手の守りの堅さに応じて、それなりの技術や資金が必要となる。大きな組織や国に支援されたリソースがなければ成し遂げられない事例も多い。しかしDDoS攻撃の場合は、ただレンタルサービスを利用するだけで、「気に入らない相手の口を塞ぐための活動」を驚異的なレベルで気軽に仕掛けることができる。
 
その6に続く
 
※脚注:「16歳の民間人がとんでもない威力を行使できる」というクレブスの表現は、おそらく今回の事件だけを示した言葉ではなく、「レンタル業者を頼ってDDoS攻撃を簡単に始めるスクリプトキディが多い」という全体の傾向について語ったものと思われる。しかし620 Gbpsの攻撃が彼のサイトを襲った際、そのトラフィックには「freeapplej4ck(Applej4ckを解放せよ)」という文字列が含まれていた。vDOSの運営者の一人として捕らえられたYarden Bidani (通称Applej4ck)の復帰を強く願っているのが、そのような少年少女たちである可能性は高いだろう。




ハッカーの系譜(10)マービン・ミンスキー (10) 多層化することで問題を解決

March 30, 2017 08:00

by 牧野武文

多層化することでXOR問題を乗り越えられる パーセプトロンの第1の進化は多層化だ。ミンスキーが指摘したように、パーセプトロンはXORの論理演算結果を学習することができない。前回示したように、XORの演算結果は線形分離不可能、つまり直線で真と偽のグループにわけることができないからだ。 しかし、実はちょ…

POSマルウェアの恐怖 (4) クレジットカード番号が顧客番号や業務処理のキーとして活用される

March 29, 2017 08:00

by 牧野武文

  ・POSマルウェアの恐怖(1) PCI DSSに準拠しても防げない? 狙われるPOSシステム ・POSマルウェアの恐怖(2) カード情報が平文で通信されるシステム ・POSマルウェアの恐怖(3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか POSレジを…

IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(後編)

March 28, 2017 08:00

by 江添 佳代子

  →IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編) →IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(中編) 何も知らされていなかったユーザー ここでいったん時系列を確認しよう。ハントやロレンゾに情報を提供した人物がCloudPetsへの連絡を試みたのは…

中国で9億アカウントが利用する「WiFi万能鍵」が1308種類の偽アプリを一掃

March 27, 2017 10:30

by 牧野武文

『中国経済網』の報道によると、中国で大人気のアプリ「WiFi万能鍵」を開発した上海連尚科技有限公司は、今年3月までに、1308種類の偽アプリを一掃したと発表した。 アカウント数9億件を超える無線LANユーティリティーソフト WiFi万能鍵は、公衆無線LANに自動接続するAndroid・iOSアプリ。…