ブライアン・クレブスを襲った史上最大級のDDoS攻撃 (5) 頼った先はGoogleのDDoS攻撃「保護」サービス

江添 佳代子

October 21, 2016 08:00
by 江添 佳代子

ブライアン・クレブスのブログ「Krebs on Security」は9月25日、「Google Project Shield」の保護サービスを利用してオンラインに復帰した。正確に言えば25日以降にも、サービスが安定するまでの間は一時的な不具合が確認されていたが、その後の運用状況は良好であるようだ。

「ニュースと表現の自由を守る」Google Project Shield

Google Project Shieldは、「ニュースサイトと表現の自由をDDoS攻撃から保護するために、Googleの技術を使った無料のサービス」と説明されている。具体的に言えば、ニュースを配信しているサイト、個人の活動家や慈善団体のサイト、選挙関連の情報を提供しているサイトなど、営利目的ではなく報道や情報発信に携わっている人々のウェブサイトを、DDoS攻撃から守るサービスだ。そういったウェブサイトは悪質な攻撃を受ける可能性が高く、また強力な後ろ盾を持たない場合が多いので、その運営者にとっては非常に頼りになる存在だろう。このProject Shieldの保護を得る際、サイトの管理者はホスティングの場所を移動する必要もない。ただしサービスを受けるためには申請が必要である。

DDoS攻撃から身を守るためのサービスを提供している企業は他にもある。しかし、クレブスは9月25日の記事の中で次のように語った。「自分のサイトがオフラインになったことを受け、私はDDoS攻撃の軽減を提供している複数の企業と話をした。そのうちの一社は『KrebsOnSecurityの2週間無料ホスティング』を申し出てくれたが、それが終了したあとに私がAkamaiで受けていたような保護を受けるには、年間15万ドルから20万ドル(約1560万円から2100万円)の費用がかかるだろうと語った」

そして彼は次のように続けている。「考えてみてほしい。このような保護の資金を賄える無所属のジャーナリストが、一体どれだけいるだろう? 他にも何社かのプロバイダーが協力を申し出てくれたが、これほど強烈な攻撃に耐えうるほどの体力が彼らにないことは明らかだった」。

実際、Akamaiのサポートを失って窮地に立たされていたときのクレブスのツイートには、「お気の毒に。私なら力になれると思うので連絡してほしい」といった内容のレスを複数のセキュリティ関係者が送っており、それはあたかも、人気のツイートに群がって転載の許可を求める日本の面白系ウェブサイトのようでもあった。しかし、どうやら彼らのオファーはクレブスの要求を満たすことができなかったようだ。

ともあれクレブスは、Googleが無料で提供している保護サービスを選んだ。「ピーク時620Gps」という攻撃の規模に、あのAkamaiでさえも匙を投げたKrebs on Securityの保護を、今後はGoogleが引き受けることになったというわけだ。このGoogleの素早い対応は、クレブスと多くのファンにとって非常に喜ばしいことだった。Googleの企業イメージも大いに向上したことだろう(ただし、ごく一部のファンは「Googleの言う『表現の自由』など信用に値しない」といった意見も示しているのだが)。

誰でも手軽に弾圧できる世界

復帰後に初めて掲載されたKrebs on Securityの記事のタイトルは「Democratization of Censorship(検閲/言論弾圧の民主化)」というものだった。それは昨今のDDoS攻撃がどれほど手軽に行われるようになったのかを指摘し、また、それが与える影響について警鐘を鳴らす内容となっている。

この記事の中でクレブスは、友人であるRoland Dobbins(DDoS対策で知られる米国企業Arbor Networksのプリンシパルエンジニア)の皮肉を引用した。「DDoS攻撃に関して言えば、『国家』も単なる攻撃者の一人だ。DDoS攻撃は『民間人』と『国家』の間に大いなる平等をもたらすものになった、というのが今日の現実である」

そしてクレブス自身も、米国の老舗メディア『The Boston Globe』で、Dobbinsの語った「現実」をより分かりやすい言葉で綴っている。「我々はいま、16歳の民間人がとんでもない威力を行使できる時代にいる。そのことはもっと人々に注目されるべきなのだが、そのようにならないことを私は恐れている」(※)

それがいかに恐ろしいのかは、今回の一件からも分かることだ。もしも攻撃者が「サーバーから個人情報を盗み出したい」「ウェブサイトを改ざんしたい」「ウェブサイトを乗っ取り、別の攻撃の踏み台にしたい」などの目的で攻撃を仕掛ける場合であれば、相手の守りの堅さに応じて、それなりの技術や資金が必要となる。大きな組織や国に支援されたリソースがなければ成し遂げられない事例も多い。しかしDDoS攻撃の場合は、ただレンタルサービスを利用するだけで、「気に入らない相手の口を塞ぐための活動」を驚異的なレベルで気軽に仕掛けることができる。
 
その6に続く
 
※脚注:「16歳の民間人がとんでもない威力を行使できる」というクレブスの表現は、おそらく今回の事件だけを示した言葉ではなく、「レンタル業者を頼ってDDoS攻撃を簡単に始めるスクリプトキディが多い」という全体の傾向について語ったものと思われる。しかし620 Gbpsの攻撃が彼のサイトを襲った際、そのトラフィックには「freeapplej4ck(Applej4ckを解放せよ)」という文字列が含まれていた。vDOSの運営者の一人として捕らえられたYarden Bidani (通称Applej4ck)の復帰を強く願っているのが、そのような少年少女たちである可能性は高いだろう。




1年に1度 ラスベガスで開催されるハッカー達のお祭りアジア勢が健闘したDEFCON 25 CTF&PHVレポート

September 19, 2017 08:00

by tessy

今年もDEF CONがアメリカ・ラスベガスで行われた。25回目の記念となるDEF CON25は昨年までのバリーズ、パリスと2つのホテルが会場となっていたが、今年はシーザース・パレスに変更され、7月27日から30日までの日程で開催された。 筆者も今回で9回目の参加であり、会場も4つ目となる。初めてDE…

46万5000台のペースメーカーに存在した脆弱性(後編)脆弱性情報は投資会社に伝えるほうが「うまくいく」のか?

September 15, 2017 08:00

by 江添 佳代子

前編記事→死に直結する医療機器のセキュリティホール Abbott Laboratories(旧St Jude Medical)のペースメーカーの脆弱性を最初に報告したのは、米国のスタートアップのセキュリティ企業MedSec Holdings(以下MedSec)だった。その発見は当時、珍しい展開のセキ…