5/25の攻撃予告とその対応

先週末の5/25(日本時間では5/26)に日本企業を含む複数の大企業に対する攻撃を実施するとの予告がありました。一部の海外メディアや Twitter 等でも情報が流れていたので、ご存知の方もいるでしょう。本記事では攻撃予告から攻撃に至るまでの状況とその対応についてご紹介したいと思います。

予告内容

4/11に TheWikiBoat を名乗るグループが Pastebin で攻撃予告のプレスリリースを発表しました。攻撃作戦名は Operation NewSon (#OpNewSon)で、内容は5/25に大企業のサイトに対して DDoS 攻撃を行うことを呼び掛けるものでした。また IRC のチャネルに参加すること、攻撃ツールとして LOIC^[1]LOIC (Low Orbit Ion Cannon)は Anonymous が DDoS 攻撃でよく利用する攻撃ツール。ただし TheWikiBoat … Continue reading を使うこと、情報は Twitter で更新すること、なども示されていました。攻撃対象は別のリストにまとめられており、全部で46のサイトの URL が掲載されていました。この中には日本企業も3社含まれていました。

TheWikiBoat とは

彼等自身が Pastebin で発表している内容などから、TheWikiBoat は Anonymous から派生した4,5人程度のグループで、今年の4/1に結成されたばかりのようです。Anonymous の攻撃作戦にも一部参加しているようですが、Anonymous とは別のグループだと主張しており、自分達で実施する攻撃作戦としては今回が実質初めて。そのためどういう攻撃を行ってくるのか、どの程度の規模になるのかなど、事前にはよくわかりませんでした。

攻撃までの経緯

当初この発表は国内でも海外でもまったく注目されていませんでした。また以下の理由から、これは Anonymous お得意の釣り(偽の攻撃作戦)ではないかと私は考えていました。過去にも偽の作戦はいくつもあり、それらと類似する点があったからです。(結果的にこの時点の判断は間違っていました。)

• プレスリリースから攻撃予告日までの期間が長い (約2ヶ月)
• 攻撃理由が不明確で攻撃対象の選定基準もよくわからない (プレスリリースでは “all for the lulz” と表現)
• 大規模な攻撃作戦の割には事前に準備している状況が伺えない

ただ攻撃が実際に発生する可能性も否定できないため、関係者に注意喚起を出すとともに、継続して状況を監視することにしました。そして IRC 等の状況を観察していると、単に準備不足なだけで、攻撃は本気でやろうとしている様子がだんだんわかってきました。

5/22には主要なメディアとしては最初に Fox News が記事で取り上げました。またこの記事でコメントしている Radware も自社のブログで注意喚起を行いました。この日を境に TheWikiBoat と OpNewSon に関するネット上での言及が少しずつ増えはじめました。

5/25になると Twitter で言及する数が急に増加しました。また FBI が攻撃対象となっている企業に注意喚起のメールを送ったという記事も出ました。数日前までほとんど人のいなかった IRC のチャネルにも参加者が増えはじめました。(1日前の時点で約100人程度)

攻撃に関する TheWikiBoat からの指示も IRC にではじめました。この段階で事前の攻撃対象リストは一旦取り下げられ、Pastebin からも削除されました。そのかわり攻撃対象は攻撃開始時に IRC と Twitter で順次公表していくとの発表がなされました。また以前の攻撃対象は売上規模の大きい会社のリストの中から選択したとのことでした。攻撃開始時刻も日本時間で26日の午前8時に設定されました。

しかしこの時点においても攻撃方法は不明確で LOIC を使うという指示だけでした。またボットネットは使わないとも発言していました。攻撃理由が不明確では賛同者は得にくいし、攻撃対象や攻撃方法がはっきりしなければ準備もままなりません。そのためこのままの状況であれば、仮に攻撃が発生しても小規模に終わり、攻撃に失敗して作戦を途中で止めるのではないか、と予測しました。(この予測はほぼ当たっていました。)

当日の状況

攻撃開始時刻が近づくにつれて IRC に参加する人数がどんどん増えていき、最終的に400人を超えていました。しかしその大半は攻撃に参加するのではなく、活動を監視する目的か、単なる野次馬と思われました。TheWikiBoat のメンバーは直前になるまで姿を見せず、表向きなんの準備もないいまま、開始時刻を迎えました。(コアメンバーの一人は結局現れませんでした。)

8時を過ぎると IRC と Twitter で攻撃対象が指示されました。これは事前に提示されていたリストにふくまれていたサイトのひとつです。しかし30分程が経過してもサイトがダウンする気配はないまま、突然 IRC のチャネルが閉鎖され、作戦は中断されてしまいました。

結果的にこの日の攻撃は完全な失敗に終わりました。しかし TheWikiBoat のメンバーは攻撃は成功していたのに、IRC 管理者によって妨害されたと主張しています。仕切り直して攻撃を継続することも表明していますが、どうなるかわかりません。同じやり方を続ける限り、失敗を繰り返すだけでしょう。

なおメンバーは当初から DDoS 攻撃だけでなく、サイトへ侵入して情報を漏洩することも計画しています。こちらの成否については現時点で全く不明です^[2]これまでにいくつかリークを行っているが、情報の入手元は不明。。

今後の対応と課題

今回の作戦がこのまま終了するのか継続するのかまだわかりませんが、これまでの状況から判断すると、大規模な攻撃に発展する可能性は低いと言えるでしょう。通常通り攻撃への発生に備えればよく、特別な対応は必要ないと考えます。

なお今回の件では、事前の情報共有のあり方や、各組織における情報収集および分析の能力について課題も残しました。攻撃に関する情報は、それが確実に起こるとわかっていれば、出来るだけ早く共有されるべきでしょう。しかし特に裏付けとなる情報がない場合、情報の受け手は各自でその情報の確度を判断する必要があります。それができないと、適切な対応がとれなかったり、本来は必要のない対応をせざるをえなくなる場合が生じます。今回がまさにそうしたケースで、詳細な情報がないまま対応を余儀なくされたところも多かったのでないでしょうか。

しかしそもそも事前に攻撃予告があること自体が稀であり、防御する側にとっては大半の攻撃は理由もわからず突然起こります。常日頃から攻撃に対する備えがあれば、こういう時でも慌てる必要はありません。緊急時に対応できる体制を整備しておくことが求められていると言えるでしょう。