2013年03月28日

世界最大規模のサイバー攻撃で、あわや世界のインターネットがダウンするところだった?

今月に入ってから、世界のインターネットに影響(速度低下など)を与えるほどのサイバー攻撃が行われていたことがわかった。

その事件のきかっけは分かっている。欧州には非営利の迷惑メール対策組織である「スパムハウス・プロジェクト」というものがある。拠点はロンドンだ。

そのスパムハウスが今月、オランダのサイバーバンカー社が迷惑メールの大量送信業者にサービスを提供しているとして、サイバーバンカー社をブラックリストに登録した。

このことに対し、スパムハウスに対する報復としてサイバー攻撃が始まった。ただ、サイバーバンカー社自体は報復攻撃をしていないと主張している。つまり、同社のサービスを利用している者たちが報復を始めたということか。

その報復は大規模なDDoSという分散型サービス妨害と呼ばれる攻撃方法によった。その結果サイトをダウンさせられたスパムハウスは、セキュリティー企業であるクラウドフレアに連絡をし、攻撃緩和支援と調査を依頼している。

クラウドフレア経営者のマシュー・プリンス氏は言う。

「これまでに見た中で最大規模の攻撃」

その結果、スパムハウスとは無関係のサイトまで速度低下などの影響を受けた。

DDoSは、通常は特定のウェブサイトを標的にして、そのサーバーに大量のトラフィックを発生させてダウンさせようとする攻撃だ。

しかし今回は複数のサーバーが標的とされた。また、攻撃のピークは26日だったが、マシュー・プリンス氏はまだ油断できないとしている。いつ再攻撃が始まるか分からない。というのも、攻撃者達は、目的を達成したと考えていないかもしれないからだ。

今回報復攻撃されたスパムハウスの影響力は大きい。スパムハウスは迷惑メールに利用されたサーバーを調査し、迷惑メールに荷担していると判断した業者をブラックリストに載せ、インターネットサービス事業者などに提供しているのだ。

その結果、迷惑メールとして遮断されるメール全体の80%は、実にこのスパムハウスが提供する情報に依存している。

そのため、スパムハウスは常にブラックリスト掲載に反発する業者などから脅迫を受けたりDDoS攻撃を受けているのだという。

ただ、前述の通り、今回の報復攻撃のきっかけとなったサイバーバンカー社自体は、攻撃を行っていないと主張している。つまり、同社の利用者たちが攻撃を行った可能性を示唆している。

しかしサイバーバンカー社の創業者の話では、今回の攻撃は様々なウェブサイト運営者同士がスカイプを使って結集し、攻撃計画を立てたのだという。特にサイバーバンカー社を支援しているストップハウスという団体は、3日間の攻撃を行って攻撃を終了したが、他のハッカーを含む活動家らはその後も攻撃を継続したのだという。

そして同創業者は言う。

「(迷惑メールよりも)スパムハウスの方が差し迫った危険だ」

つまり、スパムハウスが有るがために、罪の無いサイトまで破壊されてしまったというのだ。

これに対してスパムハウス側の研究者は言う。

「スパムハウスが提供するデータは世界17億以上の電子メールアカウントを守るために使われてきた。ただしスパムハウスにメールを遮断する権限はなく、データをサービス事業者などに提供しているにすぎない」

それにしても、今回の事件は、悪意を持ったネット利用者が結集すれば、世界のインターネットを破壊できる可能性を示してしまった。その攻撃の様子をもう少し見てみる。

攻撃は欧州時間の19日に始まったとみられている。この度のDDoS攻撃は、通常行われる攻撃の約6倍もの規模で行われ、記録では300GB/秒のデータトラフィックが発生させられているという。

さすがに規模の大きな攻撃だったため、現在5カ国の司法当局も調査に乗り出している。

スパムハウス側の調査では、攻撃者はサイバーバンカー社のサービスを利用している東欧やロシアのハッカーたちであるとしている。サイバーバンカー社側もこれは認めているようだ。

それにしてもこれだけ大きな攻撃が行われた原因は、サイバーバンカー社の利用者に筋の悪い者が多いことにも原因がありそうだ。というのも、サイバーバンカー社は、児童ポルノとテロ活動に関するもの以外であれば、どのようなウェブサイトの運営にでも利用できるとしているからだ。

その結果、同社のサーバーは、スパム用サーバーの温床となっていると考えられている。そこにスパムハウスが同社をブラックリストに加えたことで、報復が開始された。

ただ、サイバーバンカー社側は、主張している。

「(サイバーバンカー社)はスパム関連のドメインをホスティングしていない。スパムハウスこそが影響力を乱用しているではないか」

なんだか攻撃を正当化するような発言をしている。

いや、もっと穿った見方をしている者たちも居る。ギズモード(インターネット関連を扱ったブログメディア)などでは、クラウドフレア(前述通り、スパムハウスに雇われたセキュリティ会社のこと)が自社の事業のアピールとして、この度のDDoS攻撃の影響力を誇張しているのだ、と指摘している。

話を戻そう。

インターネット史上最大規模と言われているこの度のDDoS攻撃は、1週間以上も続いた。かなりしつこい連中が行っている。

アンチウィルスソフトで有名なカスペルスキーもこの度の攻撃の規模が異常であることを指摘している。

「1秒間に3000億ビットとみられる攻撃の規模から、過去最大規模のDDoS攻撃と確認できる」

また、クラウドフレアも、

「インターネットが破壊される瀬戸際」

に追い込まれたのだと評価している。

まず攻撃はスパムハウスのサーバーに対して行われた。そこでスパムハウスはクラウドフレアに攻撃緩和の支援を求めている。

しかしスパムハウスのサーバーはダウンしてしまった。ただ、次の攻撃目標とされたクラウドフレアはこの攻撃に耐えている。

クラウドフレアの耐性を知った攻撃者たちは、すぐさま攻撃目標を変更している。この辺りは私には良く理解できないので詳しく知りたい方はネットで調べてみて欲しいが、この新たな攻撃手法は「DNSアンプ攻撃」あるいは「DNSリフレクション攻撃」というものだそうだ。

なんでも世界各国にある何千ものオープンDNSサーバーが、全てのリクエストに対して無条件に応答してしまうというもので、これは既知の問題なのだそうだ。そこをハッカー達は突くことで攻撃の規模を拡大した。

しかしクラウドフレアはまたしても耐えた。すると攻撃者達はさらに目標を変えた。今度はクラウドフレアが使用する帯域を提供しているプロバイダーを攻撃し始めた。

しかしまたもやクラウドフレアは耐える。同社が接続しているIX(インターネットエクスチェンジ。IPS同士の接続ポイントのこと)であるロンドンIX、アムステルダムIX、フランクフルトIXなどは、いずれも欧州で最強と言われているIXだった。そのため、100GbpsのDDoSにも耐えた。

すると今度は攻撃者達はこれらのIXのピア接続相手を攻撃した。しかしこれにも耐えたため、攻撃者達は次はTire1プロバイダーを攻撃した。本当にしつこい。

Tier1プロバイダとは、世界に約10社ある相互接続IPSグループのことを示す。これらのTier1が各国の国内Tier1にトランジェット(バックボーンの卸販売)を行っている。例えばアジア唯一のTier1ステータスはNTTコミュニケーションズが持っており、日本国内のTier1はインターネットイニシアティブなどといった大手IPSになる。

そしてついにこの攻撃は、最大300Gbpsに達する。さすがにこの攻撃は欧州各地のインターネットトラフィックを渋滞させ、数億人というユーザーに影響を与えたと言われている。

するとクラウドフレア社にあるメールが届いた。見つけた翻訳が悪いのか少々分かりにくい文面だが、攻撃者からの祝辞らしい。発信者は「インターネットの巨人」と名乗っているようだ。

「我々は可能な限り最大規模の攻撃のために準備する必要はないとしばしば言ってきた。我々は、インターネットが他の人への大規模な巻き添え被害を発生させずに送信できる最大の攻撃にぴったり対処できるように準備する必要があるのだ。あなた方はそこに達したように見えますので……おめでとうございます!」

ここに至ってクラウドフレアは、これは「DNSのオープンリゾルバ問題」だと判断した。オープンリゾルバとは、ある組織の内部からも外部からも利用可能なキャッシュサーバーを示すらしい。つまり、外部からこのオープンリゾルバなサーバーに問い合わせが行われると、問い合わせ先のIPアドレスを回答してしまうと言う状態が発生する。

そこでクラウドフレア社は「Open Resolver Project」を設立し、問題があるとした2170万台のDNSリストを公開した。本来はこのリストは攻撃対象となるため非公開だったが、既に攻撃者達が入手していると判断したので敢えて公開することで問題解決の必要性を訴えたわけだ。

クラウドフレア側はコメントした。

「インターネット全体が現在直面している脅威に対峙できるよう、関係者やパートナーと協力して取り組む」

攻撃者自身も使用しているインターネットを破壊しようとする攻撃は、逆恨みでしかないが、インターネットへの依存が高まっている現在、インターネットの危うさを再認識させる事件となった。実はハラハラものの事態だったのだ。



posted by しげぞう | Comment(0) | TrackBack(0) | ニュース | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:


この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。