PR

 みなさんは9月1日と聞いて何を思い浮かべますか。筆者にとって9月1日は、一年中で最も気になる日の一つです。9月1日はイルカなど小型クジラ類の追い込み漁の解禁日であり、ここ数年、アノニマスの抗議活動が活発化しているからです。昨年もこの連載で、追い込み漁に対するアノニマスの抗議活動を解説しました。今回は今年の攻撃の傾向について見ていきましょう。

4回目の「OpKillingBay」が開始

 追い込み漁に対するアノニマスの抗議活動は「OpKillingBay」と呼ばれています。2013年に始まり、今年で4回目となります(図1)。

図1●今年も始まったアノニマスのOpKillingBay
図1●今年も始まったアノニマスのOpKillingBay
イルカ追い込み漁に対するアノニマスの抗議活動「OpKillingBay」は今年で4回目になる。2013年と2014年はほとんど攻撃がなかったが、2015年は有名企業や政府機関などへの攻撃が相次いだ。今年は8月ごろから関連するとみられる攻撃が発生した。
[画像のクリックで拡大表示]

 4回目とはいえ、2013年と2014年は大きな攻撃はありませんでした。本格的な攻撃があったのは2015年です。省庁や関連組織、自動車メーカー、空港などのWebサイトに(D)DoS攻撃が相次ぎました。2015年に始まった攻撃は今年の6月まで続きました。

 アノニマスは抗議活動ごとに攻撃対象のリスト(ターゲットリスト)を公開します。今年のターゲットリストは8月中旬に公開されました(図2左)。昨年のリストとほとんど同じですが、新たに内閣サイバーセキュリティセンター(NISC)などが追加されていました。

図2●攻撃対象を掲載したターゲットリストが公開
図2●攻撃対象を掲載したターゲットリストが公開
2016年8月中旬に公開されたOpKillingBayのターゲットリストには、新たに内閣サイバーセキュリティセンター(NISC)などが追加された。またOpKillingBayに乗じて、捕鯨に反対する「OpWhales」や水族館でのクジラの展示に反対する「OpSeaWorld」のターゲットリストにある組織も狙われる傾向にある。
[画像のクリックで拡大表示]

 ちなみに、OpKillingBayに関する攻撃では、日本やノルウェー、アイスランドの捕鯨に反対する「OpWhales」や水族館のイルカ類の展示に反対する「OpSeaWorld」のターゲットリストにある組織も狙われることがあります(同中央と右)。

昨年より早い時期から本格化

 筆者が観測した限りでは、今年の攻撃には二つの特徴がありました。一つは昨年に比べ早いうちから攻撃が本格化していること、もう一つはWebサーバーのリソースを消費するタイプの攻撃が多いように感じられることです。

 昨年は攻撃が活発だったため、筆者は例年より早い時期から攻撃の動向をウォッチしてきました。ターゲットリストにあるドメインを中心に約150のサイトをチェックして、サイトがダウンしていないか、つながりにくくなっていないか、ダウンから復帰したかどうかなどを確認しています

 原稿執筆時点(2016年9月29日)での調査結果によると、8月から3~4件攻撃が発生していました。そして9月に入ると、多数のサイトがダウンする事態になりました。

 アノニマスに参加する攻撃者がTwitterで報告した数をカウントすると、9月29日時点で32件の報告がありました(表1)。昨年は9月に2件、10月に19件だったので、今年は攻撃の本格化が早かったといえます。8月中の攻撃は、9月の本格的な攻撃の前の調査だったのかもしれません。

表1●アノニマスがダウンさせたと発表したサイトの例
表1●アノニマスがダウンさせたと発表したサイトの例
攻撃者のツイートを基にカウントしているため、実際にはダウンしていないものも含まれる。2016年9月29日時点で32件のツイートがあった。主に公的機関が狙われている。これら以外にもいくつかの企業が攻撃されている。リストの最新版は筆者のブログ「(n)inja csirt」の2016年8月22日の記事(http://csirt.ninja/?p=824)を参照。
[画像のクリックで拡大表示]

 表1を見ると、リストに名前が挙がっていなかった組織も狙われていることがわかります。実に、攻撃された組織の半分以上はリストにありませんでした。ターゲットリストにないからといって安心はできないのです。

Webサーバーのリソースを消費

 次に、今年のもう一つの特徴である「Webサーバーのリソースを消費するタイプの攻撃」について説明しましょう。この攻撃は、大量のアクセスでサーバーのサービスを不能にする(D)DoS攻撃の手法の一つです。

 昨年までの(D)DoS攻撃では、複数のコンピュータからサーバーへ大量のアクセスを発生させ、回線の帯域幅を埋めるタイプが主流でした(図3(a))。回線を混雑させて、サーバーが応答できないようにします

図3●(D)DoS攻撃ではサーバーのリソースを消費するタイプが増加
図3●(D)DoS攻撃ではサーバーのリソースを消費するタイプが増加
大量のアクセスでサーバーのサービスを不能にする(D)DoS攻撃には、(a)と(b)のタイプがある。今年は(b)のサーバーリソースを消費するものが目立つ。
[画像のクリックで拡大表示]

 一方今年は、前述のようにWebサーバーのリソースを消費するタイプの攻撃が今のところ多く見られます。具体的には、Webサーバーに対して多数のセッションを張ることでサービス不能状態にします(同(b))。Webサーバーには同時接続数の上限があります。この上限までセッションを張ることでWebサーバーのリソースを消費させるのです。

ツイートから人物像を推測

 筆者がアノニマスの攻撃を調査するときは、様々な観点から情報を読み解くようにしています。例えば、サイトをダウンさせたことを報告するツイートから、アノニマスに参加する攻撃者の人物像を推測します。

 今年のツイートを見ていて一つ気になることがありました。昨年の攻撃で目立っていたアカウントが今年は見当たらなかったのです。アカウント名を変更したのかと思っていたら、その攻撃者が逮捕されていたことがわかりました。容疑は多数の公共および民間のサイトに(D)DoS攻撃を仕掛けたことです。

 筆者はその人物を、過去に参加している抗議活動やツイートが集中する時間帯などから「若くて、欧州圏で活動している人」ではないかと予想していました。ニュースによると予想は的中。彼は20歳、デンマークで逮捕されました。

 アノニマスの攻撃を調査する際には、ツイートに記録されている時刻にも注目しています(図4)。攻撃者はサイトをダウンさせた証拠として、エラー画面のスクリーンショットをツイートすることがあります。普通は、スクリーンショット内にある時刻など人物特定につながりそうな情報は削除してツイートしますが、まれに表示されていることがあります。スクリーンショットを撮ってからすぐツイートしたとすれば、日本時間のツイート時刻とスクリーンショットに表示されている時刻の時差から、攻撃者が活動している地域を推測できます

図4●ツイート内の情報から地域や攻撃手法を推測
図4●ツイート内の情報から地域や攻撃手法を推測
筆者が攻撃者のツイートを見るときは、ツイートされた時間帯や書かれている内容に着目する。このツイートの場合、サイトをダウンさせたことの証拠画像に時刻が表示されていた。この時刻から、攻撃者がいる地域を推測できることがある。また、書き方が似ているツイートは同一犯の可能性があるため、そこから攻撃手法を推測できる場合がある。攻撃手法を推測できれば防御に役立つ可能性がある。
[画像のクリックで拡大表示]

9月18日の攻撃もアノニマス

 最後に、9月18日に観測した攻撃についてお話しましょう。この日は9月1日と同様に筆者が注意を払っている日です。というのも、日本で歴史的な背景を持つ日の一つで、過去に日本のサーバーに対して特定の国から大量のアクセスが行われたことがあるからです。このため、セキュリティ関連組織が政府系機関や重要インフラに向けて注意喚起を出してきました。

 今年も、9月17日の深夜から18日にかけて政府系のサイトが攻撃を受け、いくつかダウンしました。しかしそれは、特定の国による思想的な攻撃ではありませんでした。原因はアノニマスによるOpWhalesやOpKillingBayの攻撃だったのです。このときも、ターゲットリストにはない組織がいくつか狙われました。

▼アノニマス
匿名で集まり、主に「情報の自由」などを訴える抗議集団。(D)DoS攻撃で抗議対象の組織のサーバーをダウンさせて注目を集め、世間に抗議内容をアピールするなどしている。
▼解説しました
2016年1月号「第10回 アノニマスが国内企業を無差別攻撃」を参照。
▼(D)DoS攻撃
DoSとDDoSの両方を意味する。DoSとDDoSのどちらなのかを区別する必要がないよう、本連載ではこのように表記する。
▼NISC
National center of Incident readiness and Strategy for Cybersecurityの略。2015年に内閣官房に設置された組織で、サイバーセキュリティに関する国家戦略に基づいて様々な活動を行っている。
▼確認しています
アノニマスに参加する攻撃者は、攻撃が成功するとTwitterで「TANGODOWN」や「De-hosted」などのメッセージとともに報告する。ハッシュタグなどでどの抗議活動の攻撃かもわかる。そこで筆者は、サイトがダウンしたらそのURLをTwitterで検索し、攻撃者が戦果報告をしているかどうかをチェックしている。
▼アノニマスに参加する攻撃者
表1にあるように、Twitterでの報告を基に推測したところ、一人が複数のサイトを攻撃している。ダウンさせられたサイトの数は多いが、攻撃者はたった数人である。
▼10月に19件
詳細は筆者のブログ「(n)inja csirt」の2015年12月21日の記事(http://csirt.ninja/?p=63)を参照。
▼応答できないようにします
帯域幅を埋めるタイプでは、WebサーバーだけでなくDNSサーバーも応答しない。これに対しWebサーバーのリソースを消費するタイプだと、DNSサーバーは応答する。このような攻撃は、帯域幅を埋めるタイプの攻撃に比べると、攻撃に必要な通信量が少なくて済む場合が多い。
▼人物像を推測
ツイートの書き方が他のツイートと似ていたら、それらは同一人物が発信した可能性があり、攻撃手法を予測しやすくなるケースがある。
▼推測できます
ただし、アクセスしたサーバーの時刻設定が正しくなかったり、スクリーンショットを撮ってからツイートするまでに時間がたったりしている場合には、正しく推測できない。
▼歴史的な背景を持つ日の一つ
1931年9月18日に、満州事変の発端となった柳条湖事件が起こった。
▼攻撃だったのです
表1の9月17日および18日の内容が該当する。筆者のブログ「(n)inja csirt」の2016年8月22日の記事(http://csirt.ninja/?p=824)も参考にしてほしい。
辻 伸弘(つじ のぶひろ)
ソフトバンク・テクノロジーでシニアセキュリティリサーチャー兼シニアセキュリティエバンジェリストを務める。企業から依頼を受けて、外部から実際にシステムを攻撃してセキュリティ上の弱点を発見するペネトレーションテストを担当。テレビや雑誌などのメディアに登場し、また様々な講演に多数登壇している。