DDoS攻撃の歴史をおさらい

いつの間にか「DDoS」という略語は、昨今は一般紙でも正式名称が省かれがちなほど、一般的な言葉として浸透したようだ。実際にはいまだに正確な意味を知らない人もいるかもしれないが、DDoSとはある程度大きな組織にとって非常に困ったもので、何かとても重要なものが急に動かなくなり、ネットワークがダウンして社員は仕事ができなくなり、技術サポートの電話は顧客からのクレームで鳴りっぱなしになるようなものだ、ということは誰でも知っている。さらに、DDoS攻撃というのは正体不明の謎に満ちた敵(いずれにしてもたちの悪い悪党)によって仕掛けられるものだ、ということも誰だって知っている。

この記事を読み進めればおのずと明らかになるが、DDoS攻撃は急速に進化してきた。以前よりはるかに悪質になると同時に、技術的には格段に高度になった。時には非常に珍しい攻撃手法を用いることもある。毎回新しい標的を狙い、史上最大かつ最悪のDDoS攻撃として世界記録を更新する。だがそれを言うなら、DDoS攻撃を取り巻く世界の方も、非常に速いスピードで進化している。何から何まで、キッチンのシンクだってネットに接続される時代だ。ネットに接続された各種「スマート」デバイスの数は、今や古き良きデスクトップPCやノートPCの数を大きく上回っている。

DDoS攻撃とそれを取り巻くデジタル世界が平行して進化を遂げた結果、ニュース記事の見出しも進化した。たとえばIPカメラと家庭用Wi-Fiルーターで構成されたボットネットが最大規模のDDoS攻撃を記録した事件(Mirai)や、ロシアの銀行に大規模なDDoS攻撃が仕掛けられた事件が起きている。

これまでのボットネットがゾンビPCで作られていたとすれば、近い将来のボットネットはゾンビ冷蔵庫、ゾンビ掃除機、ゾンビ乾燥機、ゾンビコーヒーメーカーから作られるようになるだろう。

brevity-comic

では次に来るのは何か?

良いものでないことは確かだ。過去の事例では、巻き込まれた標的が必ず実害を被る結果になった。今後標的となった組織はどれほどの痛手を受けるのだろうか?できるだけ正確な推測をするためには、過去に目を向ける必要がある。そうすれば、将来起きるかもしれないことをよりイメージできるはずだ。そこで今回は、DDoS攻撃の歴史を簡単におさらいする。歴史を知るとともに読み物としても楽しんでもらえればと思う。

以下に挙げるのは、私の主観で選んだDDoS攻撃のオールタイムトップ8だ。「トップ」と言っても、良い意味ではなく「悪い」方の意味でだ。いずれもインターネットのかなり広い範囲、または大規模インターネットサービスを深刻な機能停止に陥れたものだ。

あらかじめ断っておくが、必ずしも8件すべてが、現在の解釈での「DDoS攻撃」にそっくり当てはまるわけではない。とはいえ「分散型」であるという特徴と、大規模なネットワーク障害をもたらしたという点は8件すべてに共通している。

  1. Morrisワーム1988年)

Robert Tappan Morris – creator of the first computer worm on the Internetロバート・タッパン・モリス(Robert Tappan Morris)氏 – インターネット初のコンピューターワームを作った人物

当時まだ大学院生だったロバート・タッパン・モリス(Robert Tappan Morris)氏は、純粋に研究目的で(「インターネットの規模を測るため」)ワームを開発した。ところが、何ごとにも間違いはつきもので、コードの中にミスが隠されていた。その結果、ワームはシステムが「クリーン」なのか、それとも(ワーム自身に!)感染しているのか判定できなかった。ワームは遠隔地のコンピューターに対して1度だけ攻撃する代わりに、同じシステムの中で自分自身を何度もコピーした。延々と…。遂には、ネットワークがクラッシュした。ネットワークに接続された6万台のノードすべてだ。感染したARPANET(インターネットの前身となった初期のネットワーク)が、自分自身にDDoS攻撃を仕掛けたというわけだ!

モリス氏は罪状を認めて改悛し、400時間の奉仕活動と1万ドルの罰金を命じられた。

  1. Melissa1999年)

David Smith, creator of Melissa, the mass-mailing virus that left Microsoft and Intel without emailMicrosoftやIntelのメールシステムを停止させた大量メール送信型ウイルスMelissaの作者、デイヴィッド・スミス(David Smith)氏

Melissaは、MS Office文書に仕掛けられた単純なメールマクロウイルスだ。メールの受信者がファイルを開くと、アドレス帳に登録されている50件の宛先にウイルス付きのメールが送りつけられる。

それがDDoSとどう関係するんだ、と思われるかもしれないが…

被害に遭った人から送られた50通のメールは、爆発的な大規模感染を引き起こし、雪だるま式に広がって手に負えないほどになった。分散型の攻撃が瞬時に世界中に広まったのだ。特定の1つの標的を狙ったものではなかったが、代わりに、世界規模のメールシステム全体を標的にしたようなものだ!このマクロのせいで世界中のメールトラフィックが大幅に増加し、多くの企業がメールサーバーの停止に追い込まれた。

このウイルスの作者も逮捕、起訴された。

  1. AmazoneBayDellCNNなどに対するDDoS攻撃2000年)

このDDoS攻撃は、甚大な被害をもたらしたにもかかわらず、犯人がほとんど罰せられなかったという点で、おそらく最も印象深い事件だろう。

事件のあらましは次のとおりだ。MafiaBoyという通称で知られる15歳のハッカーが、当時世界トップの検索エンジンだったYahoo!(Googleは、まだよちよち歩きだった)をはじめとする主だったインターネットポータルサイトを軒並みダウンさせた。MafiaBoyによる金銭的損害は12億ドル相当と推定されている。

MafiaBoyの犯行理由は、当時としてはよくあるものだった。ただ自分がどれほど賢いかをサイバー世界に見せつけたかったのだ。MafiaBoyは金銭には少しも興味がなかった。思春期の過剰な自意識に、インターネットに元々備わっていた脆弱性が手を貸した結果にすぎない。

犯人が未成年者であることを理由に、カナダの裁判所はMafiaBoyに対して8か月間の少年拘置施設収容を科しただけだった。

  1. Code Red2001年)

これも、現在のサイバー犯罪時代が到来する前に登場した例だ。つまり、金銭目当てではなく、たわいもない目的で悪さをしていた。

Code Redは、MicrosoftのIIS Webサーバーが稼働するコンピューターを攻撃。「Hacked by Chinese」(中国人がハッキングした)というメッセージを残し、ホワイトハウスのサイトまで停止させた。

このワームがやったことは次の3つだ。

a)Webページの本来のコンテンツの代わりに、次のような特徴的なフレーズを表示:

ddos-4

b)新しいWebサーバーに次々と自分自身を拡散。

c)事前に決められた複数のWebアドレスに対してDDoS攻撃を実行。その中にはホワイトハウスのアドレスも含まれており、事前に決められていた時刻に停止させた(コード内にその指示が記述されていた)。

Code Redは、世界中の100万台(!)超ものWebサーバーに感染したと考えられている。インターネット全体から見てかなりの割合だ。このワーム自体は標的となったコンピューターのメモリに存在するだけで、ファイルは作成しなかった。

Code Redを誰が作成し、なぜ配布したのかはいまだに判明していない。

Code Redに関して特に興味深いのは、ワームに悪用されたWebサーバーの脆弱性は、ワーム流行の1か月も前にMicrosoftからパッチがリリースされていたことだ。皆さん、くれぐれもアップデートは速やかに実行されたし!

  1. SQL Slammer2003年)

小さい極小だが非常に悪質だった。サイズはわずか376バイト(タイプミスで「キロ」や「メガ」や「ギガ」を付け忘れたわけではない)。2003年1月にわずか15分で世界中の数十万台のサーバーに感染し、世界のインターネットトラフィックを25%増加させ、韓国に対して破壊的なDDoS攻撃を仕掛けてインターネットも携帯通信網も(!)数時間にわたり使えない状態にした。さらに、悪用されたMicrosoft SQL Server 2000のセキュリティホールは、Code Redのように1か月前どころか、なんと6か月も前にパッチがリリースされていた!

非常に多くのシステムがセキュリティホールだらけであることが判明し、コンピューター業界は深刻な打撃を受けた。その運命的な土曜日の朝、誰あろう(現在は)当社のトップエキスパートであるアレックス・ゴスチェフ(Aleks Gostev)が、当時入社してわずか1か月の身で、1人で週末勤務のシフトに就いていた。アレックスがマルウェア検知界のプレミアリーグに入る「洗礼」を受けたその日のことを私はよく覚えているし、これからも忘れないだろう!

The jump in traffic looked something like thisその時のトラフィックの急増はこんな感じだった

この他にも、Bank of AmericaのATM計13,000台が停止し、(間接的ではあるが)2003年8月に米国北西部で停電が発生し、5000万人に影響した

  1. エストニア2007年)

2007年にエストニア政府は、戦没者の墓に建てられた兵士のブロンズ像を、首都タリンの中心地からタリン軍人墓地に移設する決定を下した。第2次世界大戦でナチス・ドイツ軍と戦って死んだソビエト兵士の慰霊像だ。エストニアのロシア語話者コミュニティから移設に強く反対する声が挙がったが、移設は計画どおりに進められ、その結果2日間にわたって暴動が起き、逮捕者が続出した。以上が簡単な背景説明だ。

像の移設と同じ頃、歴史に残るDDoS攻撃がエストニアの企業や組織に対して仕掛けられた。史上最大のDDoS攻撃ではなかったが、犯罪目的のスパムボットネットが一国家の安全保障を脅かすという点では史上初の事件だった。インターネットの世界でエストニアに関係する部分が事実上、完全に停止した。銀行、インターネットプロバイダー、新聞、政府のサイト…どれもが完全に使えなくなった。ロシアが裏で糸を引いているという噂もあったが、真偽のほどは確認できなかった。わかっているのは、犯罪目的のボットネットが使用されたことと、熱心に抗議しすぎた人々がいたことだけだ。

エストニアに対する攻撃から得られる教訓は、サイバー犯罪が国家と国家間の安全保障を脅かしかねない存在になったこと、そして我々が築いてきたデジタル世界がきわめて脆弱だとわかったことだ。

  1. ロシア南部でのDDoS攻撃2007年)

このDDoS攻撃は他の事件に比べると知名度は低いものの、同じくらい重要だ。2007年の暑い夏、ロシア南部のクラスノダール地方にあるアディゲやアストラハンの都市では、インターネットが断続的にしかつながらなくなった。接続が切れてはまたつながる、その繰り返しだった。原因は、同地域最大のインターネットプロバイダーがDDoS攻撃に襲われたことだった。

当然ながらパニックが起きた。エンジニアは走り回り、ルーターは煙を出し、人の頭からも湯気が立ち、罵声が飛び交い、顧客からは(中にはVIPもいる)いつインターネットが復旧するのかと問い合わせがあり、法執行機関はとにかく誰を(そして何の容疑で!)逮捕すべきか思案した。

攻撃の波は1か月にわたり断続的に寄せては返し、一時は(2007年)1秒あたり10ギガバイトの規模にまで達した。攻撃手法も非常に風変わりだった。ボットネットが使われていたが、それよりもピアツーピアのファイル交換サイトが活用されていて、当時は研究プロジェクト以外では前例のないやり方だった。犯人は結局見つからなかった。

このDDoS攻撃はロシアにとって重大な契機となった。地域全体のインターネット全体がたいまつのようについたり消えたりしても、なす術がなかったのだ。この事件の前までは、誰もDDoS攻撃の脅威を気に留めていなかった。事件の後、状況は一変し、真剣に対応を考えるべき喫緊の脅威と捉えられるようになった。対抗する技術が登場し、通信事業者は積極的に新しい専用キットをインストールするようになった。当社もDDoS攻撃対策製品を開発した。

  1. ロシアでの政治的DDoS攻撃2011年~2012年)

2011年12月から2012年3月にかけて、ロシア国内の政治的緊張がひときわ高まった。ロシア連邦議会(下院)と大統領の選挙が行われ、それに伴って多数の政治デモが起きた。そうした諸々の動きに加えて、対抗陣営間でDDoS応酬合戦があり、野党側のサイトと与党側のサイトがいずれもDDoS攻撃を受けた。ロシアでサイバー犯罪手法が政治的な目的のためにこれほど広範囲かつ露骨に利用されたのは初めてのことだった。

未来に待ち受けるものは

DDoS攻撃は2012年で終わったわけではない。それどころか正反対だ。本格的な商用犯罪目的のDDoS攻撃産業にまで発展している。背後にある誘因は明らかだ。金銭、サービスとしてのサイバー犯罪、そして要求達成目的でのWebサービスの締め上げ。ハクティビストもDDoSを利用しているし、世界各国のサイバー軍隊も同様だ。

現在ではSlammerほどの大規模感染が起こることは考えにくい(とはいえ、これほど多くの「スマート」デバイスがインターネットに接続されてデータのやりとりをしていれば何が起きてもおかしくはないが)。だが悪党どもに諦める気配はない。最近起きたIoTを巻き込むDDoS攻撃を見れば明らかだ。我々の生活はますますインターネットやスマートデバイスに依存するようになり、その結果、人災によるものも含めてシステムのクラッシュや完全停止などで被害が生じる可能性もある。

今のところ、我々のいる世界は、暗い過去と危険な未来にそれぞれ片足を踏み入れて身動きが取れなくなっている。過去と未来の間にあるのは、憂慮すべき現在だ。楽観視できる根拠がないわけではない。だが残念ながら、当面は、まだまだ不愉快なDDoS攻撃が確認されることになるだろう。

コメントを読む 0
コメントを書く