PR

McAfee Avert Labs Blog
Collateral Damage」より
August 7,2009 Posted by Dmitri Alperovitch

 ミニブログ「Twitter」,日記コミュニティ・サービス「LiveJournal」,SNS「Facebook」,動画共有サイト「YouTube」,写真共有サイト「Fotki」。これらのサービスの共通点が分かるだろうか。

 いずれも「cyxymu」というニックネームの親グルジア派ブロガーがアカウントを持っている(cyxymuは,グルジア内でロシアからの分離独立を求めるアブハジア自治共和国の首都スフミにちなんだニックネームである。この人物は,スフミが1993年のグルジアとの内戦で解放されたと主張している)。さらに,どれも2009年8月6日に分散型サービス妨害(DDoS)攻撃を受けた。その結果,Twitterは数時間にわたってサービスが停止し,Facebookでは通信速度が大幅に低下した(関連記事:Twitterを襲ったDoS攻撃,同時にFacebookなどにも)。狙われたソーシャル・メディア・サイトに送りつけられた攻撃用パケットは,cyxymuの公開していたWebページをフェッチしようとするものだったらしい。cyxymuは数日前,グルジアとロシアの開戦から間もなく1年になることを書いたばかりだったという。

 米マカフィーはこれらWebベースのDDoS攻撃に加え,メール・レピュテーション(評判分析)システム「TrustedSource」で攻撃対象ブログに言及しているスパム・キャンペーンを検出した。我々は,このキャンペーンには二つの目的があると考えている。まず,攻撃者はスパムの送信元としてcyxymuの「Gmail」用メール・アドレスを勝手に使った。このためcyxymuのGmailの受信箱は,不在通知や休暇のお知らせといった,スパム受信者のメール・クライアントからの自動応答メールで溢れてしまった。この行為は,今回のDDoS攻撃における真のターゲットだったcyxymuに対し,脅迫メッセージを送るキャンペーンの一環だったのだろう。スパム・メッセージには,cyxymuの運営しているWebサイトへのリンクも掲載されていた。その目的は,既にDDoS攻撃を受けている各サイトに対し,より多くのトラフィックを追加送信することだったと考えられる。

 上記スクリーンショットは,cyxymuの受信箱に戻ってきたスパム・メッセージである。cyxymuは攻撃を受けた後,これをバックアップ用ブログ・サイトの一つであるabkhaziya.netに掲載した。

 我々が調査したところ,このスパムの少なくとも一部は,今回のDDoS攻撃に使われたボットネットの一つが送信していたようだ。スパム送信に悪用された感染パソコンのうち,20%がブラジル,9%がトルコ,8%がインドにあった。

 スパム送信処理ははっきり2種類に分かれていた。どちらも8月6日木曜日の午前8時(米東部夏時間)前後に始まり,同日の午前11時ころ減り始め,最後のメッセージを検出したのが午後4時だった。一方の処理がランダムなメール・アドレスからの送信に見せかけていたのに対し,より規模の大きなもう一方だけがcyxymuのアドレスを送信者としていた。

 攻撃対象となったURLは以下の通り。

http://twitter.com/cyxymu
http://www.youtube.com/Cyxymu
http://www.facebook.com/cyxymu
http://cyxymu.livejournal.com
http://cyxymu1.livejournal.com
http://fotki.com/cyxymu

 今回の攻撃に関係したIPアドレスは,マカフィーのTrustedSourceで以前から低い評価を下している。


Copyrights (C) 2009 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Collateral Damage」でお読みいただけます。