サイバー攻撃がリアル世界での攻撃に拡大するという妙な事件があった。
攻撃のターゲットになったのは、ヴァージニア州に住むブライアン・クレブ氏。職業はブロガー。サイバーセキュリティーやセキュリティー一般に関する分野が専門だ。2009年に「Krebs on Security」というWebサイトを始めるまでは、有名な全国新聞ワシントンポストで記者を務めていた。記者時代には、クレジットカード情報や子どものポルノなどの違法なコンテンツサイトをホスティングしているサービス会社を取り上げて、同社を閉鎖に追い込んだり、マルウエアを売る業者を調べ上げたりと、現代の犯罪に勇敢に立ち向かっていた。
さて、そのクレブ氏は、3月14日木曜日の夕方、ディナーの来客を迎える準備をしていた。リビングルームの床に掃除機をかけているときに、クリスマスの飾りをくっつけていたテープがまだ窓の外にぶら下がっているのに気が付いた。客が来る前に取ってしまおうと玄関のドアを開けたところ、いきなり「動くな! 両手を上げろ!」という怒声が響いたのである。
辺りを見回すと、20人近い地元警察のSWATチーム(特殊部隊)が彼の方に銃を構えている。よくアメリカ映画で見る光景だが、まさかそんなことが自宅前で繰り広げられるとは誰も予想しないだろう。クレブ氏はその後、後ろ向きに玄関前の階段を降りるよう命じられ、地面に突っ伏して横たわれと告げられた。そして手錠をかけられる。
「これは誰かの悪い企みです」という彼の言い分が聞き入れられたのは、警官と何度もやりとりをしてからである。SWAT チームが家に入って内部を調べ異常のないことが分かってから、やっと手錠を外された。それでも、これだけ簡単に済んだのは、クレブ氏がこれ以前に「SWAT-tingがあるかもしれない」と地元警察に届けていたからだった。
ここで起こっていたのも、SWAT-tingである。SWAT-tingとは、ターゲットとなる人物の電話番号からかけたように見せかけて(「発信者IDスプーフィング」と呼ばれるもの)警察の緊急連絡番号911をダイアルし、家でとんでもない事件が起こっているのですぐに来てほしいと訴えることである。クレブ氏の場合、「ロシア人強盗が家に押し入り、妻を射殺した。彼らは今、宝飾類を物色している。すぐ助けにきてほしい」と誰かが通報したという。
この攻撃が起こる兆候は、少し前からあったようだ。まず、同日クレブ氏が掃除に取りかかる前に、彼のWebサイトがDDoS(分散サービス妨害。複数のコンピューターから特定のコンピューターに大量のパケットを送り付け負荷を与え、利用不能な状態にする)攻撃にあって断続的にダウンしていた。以前にもそんな経験をしていた同氏は、DDoS攻撃を防ぐサービスを提供する会社と契約していたが、その会社にはFBIからだというレターが届いていた。レターの内容は、クレブ氏の運営するWebサイトは違法コンテンツを流布しているので、ISPとしてのホストサービスを打ち切れというものだったという。もちろん、そのFBIレターは偽物だ。
何かと手が込んでいるこの一連のできごとは、あるWebサイト運営者の仕業とクレブ氏は見ている。そのサイトは、ほかのWebサイトをDDoS攻撃するサービスを提供するもの。こんなサービスがあるなどとは知らなかったが、例えば15ドルも払えば、対象サイトに5時間攻撃をし続けてアクセス不能にしてしまえるのだという。競合他社のWebサイトをダウンさせたいとか、嫌がらせをしたい相手がいるなどという場合には、こういうサービスを使ってしまう人もいるのだろう。
SWATチームを勝手に送り込むという手段は、見ようによってはイタズラや笑い話で済ませたいところだが、ことによっては深刻な事態を引き起こす可能性もあるだろう。警察が早まって銃を発砲してしまうことがないとは言えないし、それにクレブ氏の携帯電話番号を突き止めていた犯人は、今度の騒ぎで彼の自宅の場所まで知ってしまったかもしれない。これ以上エスカレートしなければいいが、こわいことだ。
要注意ポイントは、警察側にこうしたサイバー犯罪者たちのやり方がよく理解されていないこと。クレブ氏のケースでも、同氏が最初に届け出をした際、窓口の担当者はSWAT-tingが何のことか分からなかったという。
一般ユーザーのわれわれも、セキュリティーについてはしっかりと知恵を付けなければならない時代になっている。
