PR
ラック 取締役の西本逸郎氏
ラック 取締役の西本逸郎氏
[画像のクリックで拡大表示]
プレゼンテーション資料の一部
プレゼンテーション資料の一部
[画像のクリックで拡大表示]

 「WebサイトにDDoS攻撃を仕掛けて麻痺(まひ)させ、『修復してほしければコンサルティング料を払え』とする“Webサイトの人質事件”が国内でも確認された。要求額は60万円」。セキュリティサービスなどを提供するラックの取締役を務める西本逸郎氏は2007年6月19日、ラックとシスコシステムズが共催したセミナーにおいて、DDoS攻撃の実態を解説した。

 Webサイトに大量のデータを送信して正常な通信やサービスを提供できないようにするDDoS(分散サービス妨害)攻撃。このDDoS攻撃を特定のWebサイトに仕掛け、攻撃の中止と引き換えに金銭を要求する手口は、欧米では数年前から一般的になっている。国内では、官公庁などのWebサイトを狙ったDDoS攻撃は珍しくないものの、攻撃中止と引き換えに金銭を要求するケースは聞かれなかった。それが今回、国内でも数例確認されたという。

 ラックが確認した手口は以下の通り。2007年4月上旬、ラックのセキュリティ監視サービスを利用しているある企業のWebサイトにDDoS攻撃が仕掛けられ、サイトが利用不能になった。するとその5分後、その企業の代表電話番号に、「困っているようですね。我々なら解決できます。連絡はメールでお願いします」といった電話がかかってきた。その電話で伝えられたアドレスあてにメールを送ると、「60万円払えば、問題を解決する」といったメールが送られてきたという。

 メールに書かれている文章には不自然な点がいくつか見られた。例えば、「現在の技術はDRDDOSと呼ばれています」と書かれているが、これは「(DDoSの一種である)DRDoS(Distributed Reflection Denial of Serviceの略)と書くつもりだったのだろう。記述が間違っている上に、実際にはDRDoSではなかった」(西本氏)。また、メール送信者は自分の会社名を「ファイアウォルフ会社」と名乗っていたが、これは、「『ファイアウオール』と書きたかったのだろう」と西本氏は推測する。

 何度かメールのやり取りが続けられ、4通目には、要求額が40万円に引き下げられた。その裏で、ラックは対策に奔走。ISPなどと協力してDDoS対策機器などを導入。攻撃開始から3日目には、攻撃を防ぐことに成功したという。「こういった攻撃を3日で解決できるのはまれ。通常は、1週間程度我慢する必要がある」(西本氏)。

 今回のような事件の特徴は、要求額がそれほど高くないこと。「対策にかかるコストよりも、低い金額を提示する」(西本氏)。とはいえ、「まともな企業なら払わない。攻撃者もそのことを分かっているから、大抵は表立って活動できない企業を狙う。今回のケースでは、相手の調査不足により、たまたま一般の企業を対象にしてしまったようだ」(同氏)。