PR

 2018年後半は、アノニマスがあまり話題になりませんでした。例年であれば、追い込み漁に対する「OpKillingBay」や捕鯨に対する「OpWhales」、水族館のイルカ類の展示に対する「OpSeaWorld」という3つの抗議活動に関する書き込みが9月1日前後に増えます。9月1日は、イルカの追い込み漁の解禁日です。

 2018年後半は書き込まれないのかと思っていたところに、アノニマスの新しいアカウントがTwitterに作成されました(図1)。そして、数日の間に複数件の結果報告がありました。この報告をリアルタイムで見ていたとき、おかしな点に気づきました。今回はこの話を取り上げます。

図1●追い込み漁に対する抗議活動の結果を報告するTwitterのアカウント
図1●追い込み漁に対する抗議活動の結果を報告するTwitterのアカウント
追い込み漁に反対するアノニマスの抗議活動が2018年11月に再開された。例年は追い込み漁の解禁日である9月1日に合わせて、声明や攻撃予定の標的リストなどが公開されるが、2018年は公開されていない。
[画像のクリックで拡大表示]

ハブアカウント宛てのメッセージ

 このTwitterアカウントが作成されたのは、日本時間の11月18日19時ごろでした。アカウントのヘッダー画像には、OpKillingBay、OpWhales、OpSeaWorldの3つの抗議活動名が記されています。

 このアカウントがアノニマス関連だと判断したのは、作成直後にハブアカウント宛てに「DM me pls(DMを送って)」というメッセージを書き込んでいるからです。ハブアカウントとは、アノニマスの抗議活動を広報する、長い期間存在しているアカウントです。

 アカウントを作った人は、古くからアノニマスの活動に参加している人か、古参のメンバーとつながりが強い人ではないかと、メッセージから推測されます。

約2週間で10件の結果報告

 アノニマスの抗議活動は例年、抗議活動の趣旨や標的リストが書き込まれます。しかしこの2018年に作成されたアカウントには、そういった書き込みがありません(12月1日時点)。作成した直後から、攻撃に成功したという結果報告の書き込みが始まりました。

 攻撃の結果報告には、攻撃対象にしたWebサイトのドメイン名やWebサービス「Check-Host」による調査結果、そのWebサイトにアクセスしたときに表示されたと思われるエラー画面などが含まれます(図2)。

図2●Twitterのアカウントに投稿された結果報告
図2●Twitterのアカウントに投稿された結果報告
攻撃者のTwitterアカウントには、攻撃対象にしたWebサイトのドメイン名やWebサービス「Check-Host」による調査結果、そのWebサイトで表示されたと思われるエラー画面などが投稿されていた。
[画像のクリックで拡大表示]

 報告は、11月18日から12月1日までに10件書き込まれました(図3)。10件中9件は過去に公開された3つの抗議活動の標的リストに入っていたWebサイトです。リストに載っていないのに攻撃されたのは、東京都あきる野市にある鯨肉店のWebサイトでした。攻撃リストに入っていなくても、攻撃対象になる可能性があるということです。

図3●攻撃が成功したと報告されたWebサイトの一覧
図3●攻撃が成功したと報告されたWebサイトの一覧
2018年11月18日から12月1日までに報告されたWebサイトを示した。和牛専門の精肉店など、追い込み漁に関係のない企業も含まれている。
[画像のクリックで拡大表示]

 報告されているWebサイトは個人商店が中心ですが、大手企業も標的になっています。極洋やイトーヨーカ堂、日本郵便輸送、スーパーマーケットの「肉のハナマサ」が含まれています。どの会社も追い込み漁に直接関係がないように思います。しかし、水産物を取り扱っていたり、輸送したりしているからという理由で攻撃を受けているのかもしれません。

サイトをダウンさせた証拠を投稿

 結果報告の投稿で注目してほしいのが、Check-Hostによる調査結果です。Check-Hostは、Webサイトの可用性を調べるWebサービスです(図4)。

図4●Webサイトの可用性を確認できる「Check-Host」
図4●Webサイトの可用性を確認できる「Check-Host」
攻撃の結果報告に使われていたWebサービス。様々な国や地域からのアクセス結果を表示する。攻撃者は、Webサイトをダウンさせたことを示すためにCheck-Hostの結果を掲載したと考えられる。
[画像のクリックで拡大表示]

 Check-Hostでは、様々な国や地域から指定したドメインのWebサイトにアクセスしたときの結果を一覧表示してくれます。結果の一覧には、アクセスを開始してから応答が届くまでにかかった時間や、Webサイトのステータスコードなどが含まれます。

 攻撃者がCheck-Hostの調査結果を投稿した理由は、攻撃によってWebサイトをダウンさせたことを客観的に示すエビデンス(証拠)が欲しかったからだと思います。「攻撃に成功した」と書き込んでも、実際にその時間にダウンしていたことを確認できなければ、彼らの攻撃が成功したかどうか分かりません。

 攻撃者は、こういった第三者のサービスを使って、攻撃に成功したことをアピールしたかったのだと考えられます。