Dyn DNSに対するDDoS攻撃はスクリプトキディによる犯行か

troll-2

経営リスクを分析するFlashPointは、先週発生したDynのDNSへのサイバー攻撃に関する予備調査結果を公表した。ロシア政府などに支援されたプロのハッカーによる攻撃ではないかとも噂されていたなかで、彼らが下した結論とは、今回の攻撃はアマチュアのハッカーによるものだった可能が高いというものだった。

先週の金曜日に起きたDynのドメインネームシステムに対するDDoS攻撃は、様々なWebサービスに大きな影響を与える結果となった。PayPal、Twitter、Reddit、GitHub、Amazon、Netflix、Spotify、RuneScapeなどのWebサービスでアクセス障害が発生したのだ。

ロシア政府の関与が噂されたのに加え、ハッカー集団のNew World Hackersをはじめとする様々な組織が、自分たちがこのサイバー攻撃の首謀者であると主張した。おかしなことに、あのWikiLeaksも同組織のサポーターが関与した可能性があるとツイートしている(おそらくジョークだろう)。

FlashPointはこれらの主張について「疑わしい」、「嘘である可能性が高い」とコメントし、その代わりにスクリプトキディ(他人が製作したスクリプトを悪用して興味本位で第三者に被害を与えるハッカー)たちによる犯行だったという説を主張しているのだ。

彼らがこの結果にたどり着く根拠となったのは、今回の調査で新たに分かった証拠の数々だ。今回の攻撃に使われたインフラストラクチャーは、Dynだけでなく有名なビデオゲーム企業にも攻撃を加えていたのだ。

「同社のサービスにはなんら影響がなかったとは言え、ビデオゲーム企業が標的にされたという事実はプロのハクティビスト、政府主導のハッカー、または社会的正義を掲げるコミュニティが関与していたという可能性を低め、オンラインのハッキング・フォーラムに現れるようなアマチュアによる犯行だった可能性を高めています」とFlashPointのAllison Nixon、John Costello、Zach Wikholmは分析資料のなかで語る。

Dyn DNSへの攻撃は、Miraiと呼ばれるマルウェアに感染したデジタルビデオレコーダーとWebカメラによって構成されたボットネットが引き起こしたものだ。このボットネットをコントロールするマルウェアのソースコードは今月初めにGitHubで公開されている。また、Miraiをリリースしたのはhackforums[.]netというハッキング・フォーラムに頻繁に現れるハッカーだったとFlashPointは主張している。

このような状況証拠は、英語で書かれたハッカー・フォーラムの読者と今回のサイバー攻撃とのつながりを示している。また、このhackforums[.]netはビデオゲーム会社を標的にしていることで有名なフォーラムであることをFlashPointは指摘している。

同社は「ある程度の自信をもって」この結論にたどり着いたと話す。

このコミュニティは「booters」や「stressers」と呼ばれる商業用DDoSツールの開発方法及びその使用方法を掲載していることで知られています。ハッカーたちはその「貸しDDoSサービス」とも言える有料サービスをオンラインで提供しており、マルウェアのMiraiやボットネットに関与しているハッカーの1人はこのフォーラムに頻繁に出入りしていることが知られています。「Anna-Senpai」というハンドルネームで活動するハッカーが10月初旬にMiraiのソースコードを公開しており、この人物こそが今月初めに「Krebs on Security 」とホスティングサービスプロバイダーのOVHを攻撃した人物だと考えられています。このフォーラムに頻繁に現れるハッカーたちはこれまでにも同様のサイバー攻撃を仕掛けていたことが知られていますが、それらの攻撃は今回よりもはるかに規模の小さなものでした。

FlashPointはさらに、ターゲットとなった企業が広範囲に及んでいること、そして金銭的な要求がなかったことから、今回の攻撃に金銭的または政治的なモチベーションがあったとは思えないと主張している。つまり、自分の能力を誇示したり何かを破壊することをモチベーションとするハッカーによる犯行だった可能性が高いということだ。そのようなハッカーたちは俗にスクリプトキディと呼ばれている。

セキュリティ企業のF-SecureでCHief Research Officerを務めるMikko Hypponenは、このFlashPointの分析に賛同している。「彼らは正しいと思います」と彼はTechCrunchとのインタビューで語る。「金曜日に起きたサイバー攻撃に、金銭的あるいは政治的なモチベーションがあったとは思いません。あの攻撃にはハッキリとした標的がなく、明確なモチベーションを見つけるのは難しい。なので、愉快犯による犯行だったのでしょう」。

サイバー攻撃に利用されたWebカメラがリコールされる一方で、IoTの安全性に関する問題は企業が単体で解決できる問題ではない。また、高いスキルを持つプロのハッカーでなくても、簡単に入手できるソフトウェアでボットネットをコントロールすれば、社会に大きな影響を与えるようなサイバー攻撃を仕掛けることができるかもしれないのだ。プロのサイバー攻撃の標的はもっとハッキリしており、公衆からの注目を得ることを避けようとしている。彼らのモチベーションは世界が焼け落ちるところを見ることではなく、もっと経済的なものだ。

今年の夏にIoTセキュリティのDojo-Labsを買収したセキュリティ企業のBullGuradは、ユーザーの個人ネットワークに接続されたIoTデバイスがShodanのサーチエンジンに掲載されているかどうかチェックできる無料のIoTスキャナー・ツールを提供している。Shodanのサーチエンジンは外部からアクセス可能なIoTデバイスをリストアップしており、そこに掲載されているデバイスはハッキングの対象になる可能性がある。

同社によれば、これまでに同社のツールによってスキャンされたユニークIPアドレスの数は10万以上にもおよび、そのうち4.6%のデバイスに脆弱性があることを発見したという。世界中に約40億台ものIoTデバイスが存在することから推定すれば、脆弱性のあるIoTデバイスは世界全体で1億8500万台も存在することになるとBullGuardは話す。

「IoTの脆弱性に対する本当の解決策はまだありません」とF-SecureのHypponenは話す。「IoTリスクに対応できる新しいセキュリティが必要ですが、消費者からデバイスの安全性を求める声はありません」。

IoTのセキュリティ強化を求める消費者は少ないものの、F-SecureはF-Secure Senseと呼ばれるセキュリティ製品の開発に取り組んでいる。だが、現状はまだそのツールに対する需要をテストしている段階だとHypponenは話す。彼によれば、IoTデバイスのセキュリティを強化するという動きは消費者からではなく、ネットワークからデータが流出することを恐れる企業から生まれるだろうと考えている。

「この状況に変化が起きるのは、IoTデバイスを標的としたサイバー攻撃ではなく、その背後にあるネットワークを標的とする大規模なサーバー攻撃が起きたときでしょう。人々のホームネットワークがランサムウェアに感染し、休暇中の写真が人質に取られ、しかもその攻撃がIoT洗濯機から侵入してきた時です。すると彼らは”対策するべきかも”ということに気付くのです」と話し、「これは今にも起きつつあることだ」と付け加えた。

「なので、ハッカーの攻撃対象はIoTデバイスではありません。IoTデバイスはベクトルです。彼らはそれをネットワークに侵入するための入口として利用しているのです。そして大半の場合、ネットワークをつなぐ鎖の弱点となるのが、IoTデバイスなのです」。

[原文]

(翻訳: 木村 拓哉 /Website /Facebook /Twitter

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。