Anonymousによる作戦「#OpPetrol」、攻撃予告日6月20日までに何が起きているのか

2013年5月下旬、ハッカー集団「Anonymous(アノニマス)」が「#OpPetrol」という作戦において特定の国に対して同年6月20日に攻撃を仕掛ける旨を発表。その後、約1,000 の Webサイト、3万5,000の Eメール情報、そして、10万以上もの Facebook のアカウント情報がハッキングの被害に遭ったと一部報道がなされています。しかし、予告された 6月20日に向けて、攻撃者の関与や攻撃全体の巧妙さは限定的なようです。このような Webサイトの改ざんや情報漏えいは、先月本ブログ上で公開した「OpUSA」攻撃失敗から垣間見える攻撃者たちの戦術」と同様に、単なる「妨害行為」と大差ないと言えるでしょう。

ただし、「#OpPetrol」のような攻撃により、異なるスキルや目的を持つ他の攻撃者が、攻撃に参加して彼ら自身の使命を果たす機会を与えてしまうことになります。また、すべての産業がこうした攻撃に対して同じレベルの耐久性や対策を備えている訳ではないため、率先したセキュリティ対策とともに、今回の攻撃に備えて十分に注意することを強く推奨します。

トレンドマイクロでは、各リサーチャーが世界中から集められるスレットインテリジェンスを基にこの状況を監視し続けています。弊社は、標的となった Webサイトに対する不正な動きを突き止め、関連する IPアドレスを確認しました。これらの IPアドレスは、これまでにボットネットを操る攻撃者により乗っ取られ、C&C攻撃基盤として利用されているものです。この関連性は、恐らく、改ざん目的で標的とする Webサイトへの侵入、あるいは、「分散型サービス拒否(DDoS)攻撃」の実行に向けて下準備を行っているものと考えられます。

合わせて、感染PC から標的となった Webサイトへの攻撃に「CYCBOT」という不正プログラムが利用されていることも確認しました。「CYCBOT」は、2011年に初めて確認され、過去には特に広告サイトといった Webサイトにトラフィックを誘導するために利用されています。そして、「ペイ・パー・インストール(PPI)」の手口を通じて拡散されていることでも知られています。

標的となっているクウェート、カタールおよびサウジアラビアの政府関連 Webサイトの多くが、最近乗っ取られた IPアドレスから攻撃を受けた後にオフラインとなっています。これらの IPアドレスには、被害に遭った同 3カ国の Webサイトとこれまで通信した履歴がありません。

トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な C&Cサーバへの接続をブロックします。

トレンドマイクロでは、引き続きこの攻撃を監視し、新たな情報が入り次第随時報告します。また、組織を安全にするために、こうした攻撃の前、最中、後にできることについては、以下をご参照ください。

  • Security Intelligence Blog(英語情報):
      Anonymous’ #OpPetrol: What is it, What to Expect, Why Care?
      http://blog.trendmicro.com/trendlabs-security-intelligence/anonymous-oppetrol-what-is-it-what-to-expect-why-care/
  • セキュリティブログ:

  • 「OpUSA」攻撃失敗から垣間見える攻撃者たちの戦術
      /archives/7266
  • Anonymous によるイスラエルの各Webサイトへの DDoS攻撃事例、ボットネットからの実行も判明
      /archives/7077
  • Anonymous が日本を標的に攻撃か - セキュリティ対策の再確認を
      /archives/5440
  • ハッカー集団「LulzSec」、次の標的はブラジルの政府系サイト
      /archives/4266
  • 参考記事:

  • Anonymous’ #OpPetrol: Leading into June 20
     by Darin Dutcher (Threat Research)
  •  翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)

    【更新情報】

    2013/06/24 12:00 一部本文を更新しました。