IIJ-SECT

IIJ

 

Security Diary

HOME > Security Diary > 5/25の攻撃予告とその対応

5/25 の攻撃予告とその対応

先週末の 5/25(日本時間では 5/26)に日本企業を含む複数の大企業に対する攻撃を実施するとの予告がありました。一部の海外メディアや Twitter等でも情報が流れていたので、ご存知の方もいるでしょう。本記事では攻撃予告から攻撃に至るまでの状況とその対応についてご紹介したいと思います。

予告内容

4/11に TheWikiBoatを名乗るグループが Pastebinで攻撃予告のプレスリリースを発表しました。攻撃作戦名は Operation NewSon (#OpNewSon)で、内容は 5/25に大企業のサイトに対して DDoS攻撃を行うことを呼び掛けるものでした。また IRCのチャネルに参加すること、攻撃ツールとして LOIC[1]を使うこと、情報は Twitterで更新すること、なども示されていました。攻撃対象は別のリストにまとめられており、全部で 46のサイトの URLが掲載されていました。この中には日本企業も 3社含まれていました。

TheWikiBoatとは

彼等自身が Pastebinで発表している内容などから、TheWikiBoatは Anonymousから派生した 4-5人のグループで、今年の 4/1に結成されたばかりのようです。Anonymousの攻撃作戦にも一部参加しているようですが、Anonymousとは別のグループだと主張しており、自分達で実施する攻撃作戦としては今回が実質初めて。そのためどういう攻撃を行ってくるのか、どの程度の規模になるのかなど、事前にはよくわかりませんでした。

攻撃までの経緯

当初この発表は国内でも海外でもまったく注目されていませんでした。また以下の理由から、これは Anonymousお得意の釣り(偽の攻撃作戦)ではないかと私は考えていました。過去にも偽の作戦はいくつもあり、それらと類似する点があったからです。(結果的にこの時点の判断は間違っていました。)

  • プレスリリースから攻撃予告日までの期間が長い (約 2ヶ月)
  • 攻撃理由が不明確で攻撃対象の選定基準もよくわからない (プレスリリースでは "all for the lulz" と表現)
  • 大規模な攻撃作戦の割には事前に準備している状況が伺えない


ただ攻撃が実際に発生する可能性も否定できないため、関係者に注意喚起を出すとともに、継続して状況を監視することにしました。そして IRC等の状況を観察していると、単に準備不足なだけで、攻撃は本気でやろうとしている様子がだんだんわかってきました。

5/22には主要なメディアとしては最初に Fox News が記事で取り上げました。またこの記事でコメントしている Radware も自社のブログで注意喚起を行いました。この日を境に TheWikiBoatと OpNewSonに関するネット上での言及が少しずつ増えはじめました。

5/25になると Twitterで言及する数が急に増加しました。また FBIが攻撃対象となっている企業に注意喚起のメールを送ったという記事も出ました。数日前までほとんど人のいなかった IRCのチャネルにも参加者が増えはじめました。(1日前の時点で約 100人程度)

攻撃に関する TheWikiBoatからの指示も IRCにではじめました。この段階で事前の攻撃対象リストは一旦取り下げられ、Pastebinからも削除されました。そのかわり攻撃対象は攻撃開始時に IRCと Twitterで順次公表していくとの発表がなされました。また以前の攻撃対象は売上規模の大きい会社のリストの中から選択したとのことでした。攻撃開始時刻も日本時間で26日の午前8時に設定されました。

しかしこの時点においても攻撃方法は不明確で LOICを使うという指示だけでした。またボットネットは使わないとも発言していました。攻撃理由が不明確では賛同者は得にくいし、攻撃対象や攻撃方法がはっきりしなければ準備もままなりません。そのためこのままの状況であれば、仮に攻撃が発生しても小規模に終わり、攻撃に失敗して作戦を途中で止めるのではないか、と予測しました。(この予測はほぼ当たっていました。)

当日の状況

攻撃開始時刻が近づくにつれて IRCに参加する人数がどんどん増えていき、最終的に400人を超えていました。しかしその大半は攻撃に参加するのではなく、活動を監視する目的か、単なる野次馬と思われました。TheWikiBoatのメンバーは直前になるまで姿を見せず、表向きなんの準備もないいまま、開始時刻を迎えました。(コアメンバーの一人は結局現れませんでした。)

8時を過ぎると IRCと Twitterで攻撃対象が指示されました。これは事前に提示されていたリストにふくまれていたサイトのひとつです。しかし30分程が経過してもサイトがダウンする気配はないまま、突然 IRCのチャネルが閉鎖され、作戦は中断されてしまいました。

結果的にこの日の攻撃は完全な失敗に終わりました。しかし TheWikiBoatのメンバーは攻撃は成功していたのに、IRC管理者によって妨害されたと主張しています。仕切り直して攻撃を継続することも表明していますが、どうなるかわかりません。同じやり方を続ける限り、失敗を繰り返すだけでしょう。

なおメンバーは当初から DDoS攻撃だけでなく、サイトへ侵入して情報を漏洩することも計画しています。こちらの成否については現時点で全く不明です[2]

今後の対応と課題

今回の作戦がこのまま終了するのか継続するのかまだわかりませんが、これまでの状況から判断すると、大規模な攻撃に発展する可能性は低いと言えるでしょう。通常通り攻撃への発生に備えればよく、特別な対応は必要ないと考えます。

なお今回の件では、事前の情報共有のあり方や、各組織における情報収集および分析の能力について課題も残しました。 攻撃に関する情報は、それが確実に起こるとわかっていれば、出来るだけ早く共有されるべきでしょう。しかし特に裏付けとなる情報がない場合、情報の受け手は各自でその情報の確度を判断する必要があります。それができないと、適切な対応がとれなかったり、本来は必要のない対応をせざるをえなくなる場合が生じます。今回がまさにそうしたケースで、詳細な情報がないまま対応を余儀なくされたところも多かったのでないでしょうか。

しかしそもそも事前に攻撃予告があること自体が稀であり、防御する側にとっては大半の攻撃は理由もわからず突然起こります。常日頃から攻撃に対する備えがあれば、こういう時でも慌てる必要はありません。緊急時に対応できる体制を整備しておくことが求められていると言えるでしょう。


  1. LOIC (Low Orbit Ion Cannon)は Anonymousが DDoS攻撃でよく利用する攻撃ツール。ただし TheWikiBoatがプレスリリースで示したダウンロードリンクはボットネット機能のない通常版。ボットネット機能(IRCモード、Hivemindと呼ばれる)があるものは、特定の IRCチャネルに接続した多数の LOICに攻撃指示を出して、一斉攻撃を仕掛けることができる。 ↩

  2. これまでにいくつかリークを行っているが、情報の入手元は不明。 ↩

-
 
カテゴリー :
セキュリティ事件  
タグ :
Anonymous   DDoS  
この記事のURL :
https://sect.iij.ad.jp/d/2012/05/285607.html