トピックス記事     カテゴリ : セキュリティ

同時多発サイバー攻撃?

2009年8月6日、ツイッター(Twitter)とフェースブック(Facebook)が、ボットネットからDDos攻撃(Denial of Service attack/分散型サービス妨害攻撃)をうけ一時アクセスできなくなった。

DDos攻撃は、ターゲットのサイトに時間を決めて、サービスの対応能力を超えたリクエストを行って困らせる攻撃だ。
コンビニのレジに30人が一斉に押し掛けて、ワイワイやってほかの客が買えないようにする、オジャマ虫作戦のようなものである。

Mydoom(亜種)は枯れてる技術?

攻撃に使われた不正プログラムは、2004年にはやったウイルス Mydoom(亜種)らしい。
Mydoomには、初めからDDos攻撃の機能が組み込まれているので、PCに感染させさえすれば、この種の攻撃は難しくない。
多くのパソコンに感染させたMydoom亜種に、自分に都合の良い設定を書いた指示を読ませ、ボットネットとして一斉に指定のサイトに攻撃を行わせるのだ。

Mydoomは、感染するとだいたい次のような動作をする。
  • 住みやすい環境と攻撃道具を用意する。
  • 見つからないように隠れて変装する。
  • 用意ができるとその旨を親玉に知らせる。
  • 攻撃先リストを取り寄せ、攻撃対象ホスト、攻撃開始日時、攻撃終了日時等の情報をセットする。
  • その時が来たら、攻撃対象ホストに、HTTP GET Request Flood、UDP Flood、Ping Floodの攻撃を行う。
  • Windowsファイアウォールの無効をする。
  • MBRを書き換えて、PCを起動できなくする。
  • ワード、エクセルのファイルを削除する。
  • 自分自身を削除して証拠隠滅をする。
      ※ 感染するとC:¥windows¥system32に「wmiconf.dllやwmcfg.exe 」ができる。(WindowsXP)

韓国ではサイバーテロ騒ぎ

韓国・米国へのDDos攻撃に使われたマルウェアは、「W32.Dozer」(侵入)、「Trojan.Dozer」(裏口作り), 「W32.Mydoom.A@mm」(Dos攻撃担当), 「W32.Mytob!gen」(メールアドレス泥棒)の連合チームのようだ。
W32.Dozerがメールで侵入し、Trojan.Dozer、 W32.Mydoom.A@mm、W32.Mytob!genを呼び込み、隠れて指示を待っている間に、PC内のメールアドレスを盗んでメールを送信し、さらに感染拡大を狙う分担作業らしい。
      « 詳しくはこちら »
同じタイプの攻撃が、7月4日から米国の政府機関などに、7月11日から韓国で政府機関と企業に対して行われた。

韓国の騒ぎでは、ソウル市内のケーブルテレビ契約者のインターネットサービスを利用するPCの大半が感染したらしい。感染したPCの設定ファイルには、青瓦台・国防部・ネイバーなど韓国内12サイト、ホワイトハウス・国務省など米国14サイト。
ボットを仕込まれて操られたソンビパソコンには、「7月7日午後7時に攻撃開始」という命令が残っていたという。

韓国内 23,000台のパソコンと韓国以外 2,000台のPCが感染し、Dos攻撃を行ったといわれる。Mydoomが持つ基本機能により、感染したPCでは攻撃後に、ファイルが削除される、起動しなくなるなどの不具合が生じたようだ。

10万台使ったボットネットは金目当てだった

Twitterと韓国・米国へのDos攻撃は、方法は似ているが黒幕は異なるかもしれない。
前者は、グルジア人のブロガーCyxymuをいじめるロシア系、後者は北朝鮮系だという説がもっぱらである。
参考/The New York TimesGuardianThe Wall Street journal

これらの騒ぎを「サイバー攻撃」「サイバーテロ」とテレビや新聞は伝えたが、それほどのものとは思えない。せいぜい、度をすぎたイタズラ、迷惑ではないだろうか。

技術的にもそれほど高度ではないし、対象ホストに行われる攻撃も、「ホームページの表示が遅い、表示されない」「login画面の入力の反応が遅い」「ブログのページの書き換えに時間がかかる」などで、いずれもwebサーバーなどがリクエストに対応できず手一杯になる程度だ。

オークション利用者は落札タイミングが合わせられなくて泣くかもしれないが、ネットユーザ全体から見れば微々たる影響だ。ログインに40分、1ページのブログ更新に5時間かかることもある某大手ポータルサイトのブログユーザなら、特に驚くことではないだろう。
ネットの脆弱さ、不確実さを知るものは、ネットに人生を任せることの危うさを知っているから、生活をネットに依存させていない。

ボットネットのゾンビパソコンの状態を追跡し、グラフィカル表示するシステムはいろいろある。ボットネットによる攻撃は、パターンが同じなので、ターゲットのサーバーに到達する前に、ルーターで遮断することもできないわけではない。

これが「サイバー攻撃」だとしたら、マスコミが大騒ぎしたことが一番の成果かもしれない。
同時に、具体的な対応策を検討する時間を与えてしまったのは、黒幕側の大きな失敗だろう。

Comments

Add Comment

このアイテムは閲覧専用です。コメントの投稿、投票はできません。
 
Copyright | 8 Peaks Inc. | Saku City NAGANO | 0267-82-7082 | Back to top