ハクティビズムと犯罪は、インターネットの健全性において有害な組み合わせといえますが、それが、2013年3月18日以降から発生した「分散型サービス拒否(DDoS)攻撃」の事例において再び証明されました。この DDoS攻撃は、英国の非営利スパム対策組織「Spamhaus.org」を対象とし、最大で 300 Gbit/s の規模にも及ぶものでした。Spamhaus という団体は、非常に多くのインターネットユーザのスパムをフィルタリングするのを支援しています。そのため、Spamhaus がダウンしてしまうと、受信トレイが大量のスパムで溢れかえることになります。
この DDoS攻撃は、「CyberBunker」や「CB3Rob」と呼ばれるオランダの Webホスティング会社によって画策されたとされています。この Webホスティング会社は、ハッカーとしての背景をルーツに持ち、過去には匿名の機密情報サイト「Wikileaks」や Torrent 検索サイト「The Pirate Bay」をホストしていました。CyberBunker は、オランダの「北大西洋条約機構(NATO)」の元軍事用格納庫にデータセンターを保有していると主張しています。それが真実かどうか、また Spamhaus に対する DDoS攻撃において CyberBunker が具体的にどのような役割を担ったかは不明です。この Webホスティング会社の所有者は、あたかもそれが通常の業務であるかのように、インターネットから会社を遠ざけようとする攻撃の広報として振る舞います。今日では、インターネット上のいわゆるハクティビズムは、明らかに脱線してきており、犯罪とハクティビズムの境界があいまいになってきています。では、順に CyberBunker で実際に起こったことについて確認してみましょう。
Spamhaus は、CyberBunker が世界でもっとも悪質な Webホスティング企業の一つであると主張しています。トレンドマイクロでもこうした問題を確認していますが、CyberBunker がもっとも悪質な企業であると評価するに至っていません。なお、CyberBunker は、児童ポルノとテロ活動に関連するものを除くすべてをホストすると主張しています。このことが、誰もがインターネットへは無検閲でアクセスできるべきと考える理想主義的な人物やサイバー犯罪者を触発させたのかもしれません。こうして、ハックティビズムと犯罪という危険な組み合わせが巡りあったのです。
犯罪がハクティビズムを失墜させたとする実例があります。それは、CyberBunker のネットワークが Spamhaus の DNSサーバで使用される IPアドレスを BGPハイジャックするのに利用されていた事例です。Spamhaus の DNSサーバは、スパム対策の極めて重要な部分を担っています。この事例では、Spamhaus のスパムレピュテーションを行うシステムに大量の誤検出を組み込む試みがされましたが、ほとんどのネットワークが相反する BGPアナウンスメントを許可しなかったため大きな被害にはなりませんでした。しかし、これで CyberBunker のネットワークを利用する何者かが、Spamhaus のスパムレピュテーションシステムを妨害しようと企む意思があったことがはっきりしました。これはハックティビズムというより、むしろ犯罪であるといいえます。
上述したとおり、CyberBunker は、過去に The Pirate Bay をホストしていたため、エンターテインメント業界にとっては煩わしい存在でした。CyberBunker は、Wikileaks をホストすることによって当局を挑発し、また CyberBunker の Webサイトによると地元オランダ当局との間で複数の事件があったようです。このすべてが、本格的な犯罪には見えませんが、行動を指示されたくない多くの無政府主義者の仕業であるようだといえます。その当時の Webホスティング会社は、インターネットセキュリティの脅威としてみなされていませんでした。
しかしその後、顧客のなかの犯罪者たちが、Webホスティング会社に集まり事態は悪い方向へと進みました。そして最終的には、これまでに報告されたなかで最大の 300 Gbit/s にも及ぶ DDoS攻撃が起こりました。この最大規模の攻撃は、DNSオープンリゾルバを悪用する「DNS Amp」手法により引き起こされたものです。Spamhaus は、過去にも数多くの DDoS攻撃に悩まされており、こうした対処には豊富な経験があるため、この攻撃に屈することはありませんでした。では攻撃者が、こういった攻撃に対して十分に備えていない企業に対し同様の攻撃を仕掛けた場合、どうなるのでしょうか。
今回の攻撃から学んだ教訓は、インターネットは非常に強固ですが、より一層強固にする必要があるということです。過去のブログ記事では、DDoS攻撃を緩和するための以下の2つについて説明しました。
今回の大規模 DDoS攻撃は、すべてのネットワークオペレータに今すぐ対策を施すように促す警告となりました。
参考記事:
by Feike Hacquebord (Senior Threat Researcher)
翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)