現在、日本国内企業が設置するホームページを狙った恐喝事件報告が寄せられています。その手口は、ホームページを人質に見立て、「DDoS攻撃(Distributed Denial of Service:分散サービス拒否攻撃)」の脅威をちらつかせた上で(時には実際に攻撃を仕掛け)、攻撃からの解放と引き替えに金銭を要求するというシナリオです。
この恐喝事件で暗躍しているのが「ボットネット」です。予てよりその危険性が問題視されていた、ウイルス感染コンピュータによって組織されたネットワーク:ボットネットは如何にその攻撃スタイルを生みだし、ホームページを狙った恐喝というアンダーグラウンドビジネスの確立に至っていったのでしょうか。今回はウイルスによる攻撃スタイルを分析し、攻撃に対する対処方法について検討したいと思います。
DDoS攻撃とは、いったい何なのでしょうか。トレンドマイクロの用語集では、「リモートコントロールでDoS攻撃(大量のデータを送信したり、セキュリティホールを狙ったデータを送信することによりサーバやネットワーク全体の混乱を狙うネットワーク攻撃)を行う方法。」と定義しています。
DDoS攻撃、その歴史はハクティビズム活動から
ウイルス解析担当者としてDDoS攻撃の代表的事例を1つ挙げるなら、2001年7月の「CODERED」ファミリによる事例が記憶に鮮明です。「CODERED」ファミリは特定日時に米ホワイトハウスのサイトへ大量パケットを送信するようにプログラムされていました(注:同攻撃はホワイトハウス側にて事前にURL変更を実施したため、攻撃失敗に終わっています)。
犯行には常に動機があります。ホワイトハウスに対する攻撃の動機は、ハッキングを行うことでアクティビズムを示すことがその目的であったと分析されます。このように政治的主張をデジタル情報を駆使して公にしていく活動を「Hacktivisim : ハクティビズム」と呼ぶ動きもあります。
近年に報告されたハクティビズム活動としては、ウイルス「HKTL_DAHIJ.A」による事例などが挙げられます。
- TrendLabs Malware Blog:「When Terrorists Come Out to Play」(2007年11月7日付け)
- DEBKAfile Exclusive:「Al Qaeda declares Cyber Jihad on the West」(2007年11月7日付け)
サイバー聖戦として報じられる主な攻撃手法はDDoS攻撃であるとの統計データも発表されています。
日本国内においては、靖国神社が2004年9月からWebサーバに対して断続的にDDoS攻撃を受けていることを明らかにしています。
 |
|
|
ボットネットにより進化した攻撃手法
「CODERED」ファミリによる事例は、攻撃者側にとっても大きな学びを得た事例であったようです。同事例では、攻撃先がプログラム側で決めうちされていたため、事前に対策がとられ、その攻撃は失敗に終わりました。では、これがリモートから攻撃先のコントロールが可能であったなら、柔軟性が確保されたプログラム設計が行われていたなら、どのような結果がもたらされたのでしょうか。
その疑問は新たな事例により解消されることとなります。2003年8月に米Microsoft社のサイトがボットネットによるDDoS攻撃を受け、アクセス不能(攻撃成立)になったことが報じられています。
- CNET Japan:「Microsoft.comサイト、DoS攻撃でダウン」(2003年8月4日付)
- silicon.com:「14-year-old ‘downed Microsoft homepage for four hours’」
これ以降、ボットネットによる攻撃事例は止まることなく、その被害件数を伸ばしていきました。
「CODERED」と「ボットネット」の決定的な違いは「C&C(コマンド・アンド・コントロール)」にあります。一度ボット型ウイルスの感染を許したコンピュータ「ゾンビPC」は「ハーダー」(外部から指令を行う存在)に管理され、コントロール下に置かれます。攻撃のコントロールを人の管理下に置いたことで、より柔軟な振る舞いを実現し、防御側の対策の手を逃れ、攻撃達成率を高めることに成功しました。
アンダーグラウンドビジネスへの進出
高い攻撃達成率をもたらす「ボットネット」は、アンダーグラウンドビジネスにおいても注目の置かれる存在となります。ウイルス作成者の中には、はじめから不正な活動により金銭獲得を試みることに注力を注ぐグループも現れてきます。
ハーダーは社会的に立場の弱い組織を標的に、DDoS攻撃を仕掛けていきます。
2004年7月、英国国家犯罪捜査庁ハイテク犯罪ユニット(National Hi-Tech Crime Unit:NHTCU)は不当に請求し、要求に応じなければウェブサイトにDDoS攻撃を仕掛けると恐喝を行ってきた組織を摘発したと発表しています。犯行組織が巧みだったのが、資金豊富なオンラインスポーツくじサイト運営業者を標的にしたことでした。彼らは電子メールを使ってオンライン業者との接触を試み、1万~3万ポンドの金額を請求したと報じられています。しかし彼らの思惑は運営業者がこぞって支払いを拒否するとの抵抗に遭い、思うようにはいかなかったようです。
- CNET Japan:「英国のサイバー警察がロシアの暴力団関係者を逮捕–オンライン恐喝の疑い」(2004年7月22日付け)
- ITmedia:「「金を出さなければDoS攻撃」と脅迫、ロシアで3人逮捕」(2004年7月22日付け)
一方、アジア圏の状況はどうでしょうか。先の「みかじめ料要求型」とは異なるソーシャルエンジニアリングテクニックを用いた、より巧妙なアプローチがとられています。ここでは「支援申し出型」と呼びます。
攻撃者は標的組織に対し、予めDDoS攻撃を仕掛けた上で、オンライン業者との接触を試みます。アプローチに際し、攻撃者は自らを「支援者」であると偽ります。晒されている攻撃からの解放を約束し、その対価として金銭を求めます。
先の「みかじめ料要求型」とは異なり、「支援申し出型」アプローチはソーシャルエンジニアリング効果が発生します。支援を申し出ることで被害者には気のゆるみが生じます。また、攻撃に対する対処を施さなければならないという焦りから、偽りの支援を受け入れます。更に攻撃者は標的として、技術力が無く、対策が手薄な小規模組織を好んでいます。これはアプローチの際に、難解な専門用語で本質からそらし、攻撃達成率の向上を狙っての絞り込みです。
アンダーグラウンドビジネスの行く末
今後、攻撃はどのような方向をたどっていくのでしょうか。TrendLabsの調べによれば、現在アンダーグラウンドエコノミーには価格破壊が発生しています。
また、欧米諸国においては、これまでの「みかじめ料要求型」から、ライバル企業が犯罪組織にDDoS攻撃を委託する「業務妨害型」への傾向変化も見られます。
こうした傾向変化の背景には、従来型の攻撃手法による利益率の低下、取り締まり強化によるリスク増大などがその理由として考えられます。このほか、ボットネットの供給量安定化に伴い、小売りに耐えうる環境が構築された可能性も推定されます。
| ASSET | GOING-RATE |
| Pay-out for each unique adware installation | 30 cents in the United States, 20 cents in Canada, 10 cents in the UK, 2 cents elsewhere |
| Malware package, basic version | $1,000 – $2,000 |
| Malware package with add-on services | Varying prices starting at $20 |
| Exploit kit rental – 1 hour | $0.99 to $1 |
| Exploit kit rental – 2.5 hours | $1.60 to $2 |
| Exploit kit rental – 5 hours | $4, may vary |
| Undetected copy of a information – stealing certain Trojan | $80, may vary |
| Distributed Denial of Service attack | $100 per day |
| 10,000 compromised PCs | $1,000 |
| Stolen bank account credentials | Varying prices starting at $50 |
| 1 milion freshly-harvested emails (unverified) | $8 up, depending on quality |
DDoS攻撃に対する対応
いかなる恐喝行為においてもとるべきスタンスは屈しないことです。先の英国NHTCUによる摘発事例は、犯罪に屈しない姿勢が有効な回避策、犯罪抑止効果につながることを示したベストプラクティスといえます。
被害発生時に速やかに対応できるよう、次の項目をあらかじめ確認しておくことが望まれます。
- 最寄りの都道府県警察本部が開設しているサイバー犯罪相談窓口の連絡先
- 被害を受けたシステムの構成
- 被害発覚の年月日
- 被害検出に至った手法もしくは被害発生の疑いを持った理由
- 被害経路
攻撃先URL、IPアドレス / 攻撃元IPアドレス - 被害の状況
特定されている場合、攻撃手法。具体的な被害内容。実施していた不正アクセス防止のためのセキュリティ対策、直ちに講じた再発防止対策など。
その上で、技術による対策を図っていくことで強固な環境構築が実現されます。DDoS攻撃に対する主な防御対策として次の項目を紹介します。
- ソースアドレスが詐称されたパケットやブロードキャスト宛パケットを拒否する(RFC1918 / RFC2827 / RFC2644)
- 不必要なICMP / UDP / SYN パケットの拒否または帯域制限
- ブロードキャスト宛パケットのフォアディングの禁止
- 負荷分散(回線/ネットワーク機器/サーバ/アプリケーション)を考慮したシステムの見直し
- 処理能力(回線/ネットワーク機器/サーバ/アプリケーション)の増強
- 既存設備の活用状況、チューニング作業
- DDoS攻撃に荷担することが無いよう、脆弱性の解消と定期的なセキュリティチェック
トレンドマイクロでは引き続き、日本国内における安全なインターネット環境を実現するため、「サイバークリーンセンター(CCC)」への技術協力などを通じて、ボット駆除を進めていきます。