進化するアンダーグラウンドビジネスの実態

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

進化するアンダーグラウンドビジネスの実態

2010/10/05


 クレジットカード情報が2ドル〜20ドルで売られ、数時間のDDoS攻撃が数百ドルで可能になる。しかも自ら手を下さず、さまざまな攻撃を代行してもらえることも…。インターネットの影の部分で次第に形成されてきた「アンダーグラウンドビジネス」とは何か、その実態と目的は?今回はさまざまなセキュリティ上の脅威を生み出す元凶の1つ、金銭目的の犯罪者たちが作る「アンダーグラウンドビジネス」について紹介する。ケースファイルをカギにしてアンダーグラウンドビジネスのありさまを紹介し、それがもたらす脅威への対策については次回紹介していく。

アンダーグラウンドビジネス

#021

レスポンスの悪化でクレーム続出!?見えない敵に狙われる恐怖と飛び火する被害

 「Webでウチの製品情報サイトに接続できない」──A社の情報システム部門に届いた最初のクレームは、同社の業務部門からだった。A社は、Webで顧客向け製品情報サービスを、ホスティング業者であるB社のレンタルサーバを利用して提供していた。同サービスは、顧客はもちろん社内の営業部門なども頻繁に利用していたのだ。やがて顧客からもメールや電話で苦情が届き始めた。A社のシステム運用管理担当者のZ氏がB社に連絡をとると「現在、サーバが過負荷状態で停止している」とのことだった。
 実はこのとき、B社のネットワークは突然の接続要求の増加でファイアウォールがパンクしていた。平常時には5〜6万接続が上限だったのに、この日の夕方から急激に接続要求が増え、ファイアウォールが処理できる限界(60万接続)を超えてしまっていた。その原因はすぐにわかった。SYN FloodによるDDoS攻撃(後述)だった。送信元のIPアドレスは偽装されていて、送信元IPアドレスによるフィルタリングは役に立たなかった。
 B社はすぐさま攻撃対象のサーバを一時停止し、ファイアウォールの設定を変更して、SYN Flood攻撃対策として一般的なSYNプロキシを行った(後述)。これでとりあえずは不正な接続要求をゲートウェイではじくことができ、ファイアウォールの接続上限の問題は一時解決した。しかし攻撃は、1時間に2億パケットを超える頻度で行われていたため、ネットワーク負荷が著しく高くなり、ユーザは、接続はできるものの極めて遅いレスポンスに悩まされることになった。
 A社ではようやく復旧したWebサイトを利用再開したものの、そのあまりの重さに業務部門や顧客からクレームが相次いでいた。Z氏がB社に苦情を言うと、ネットワーク負荷が高すぎてすべてのサーバのレスポンスが遅れているのだという。やがてB社から改めて連絡が来た。「◯時△分から数分程度、サーバを停止し、その後御社のドメインは復旧します」という。Z氏は仕方なく了承することになった。
 B社ではこのときまでに攻撃対象サーバのIPアドレスを変更して攻撃が続くかどうかを確認していた。それでも攻撃は続いたので、特定のドメインに向けた攻撃とわかった。そこで、攻撃対象サーバをいったん停止し、そのサーバ内のすべてのドメインを他のサーバに分散させることにした。順次行ったドメインの移動により、攻撃対象ドメインが明らかになった。そのドメインは、リアルマネートレード(RMT)を行うサイトだった。B社は、そのドメインについてDNSのAレコードをプライベートアドレスに変更し、攻撃の通信がB社のネットワークへ流れないようにした。
 その結果、DNSキャッシュの変更が順次行われるに従い、攻撃は終息した。
 この攻撃は、B社の管理下にあるサーバの中の、ある1つのドメインに向けたDDoS攻撃だった。A社をはじめB社のサービスのユーザ全員が、たびたびのサービス停止とレスポンスの悪化に見舞われることになった。B社は、今後再び攻撃があったとしても被害の影響範囲を最小化、局所化するために、システム構成変更を行った。またDDoS攻撃の標的になりかねないと予測されるユーザとの契約には慎重を期すことになった。RMT業者についてはサービスの利用を禁止する措置をとった。

(ケースファイルは実際の事件をベースにキーマンズネットが作成)




1

「お金を払えば代わりに攻撃します」!?成長するアンダーグラウンドビジネス

 ケースファイルはレンタルサーバを提供している会社が、DDoS攻撃で被害を受けた例だ。被害者はレンタルサーバを運営していたB社だけではない。B社の顧客であるA社や、同じようにB社のサービスを利用していたほかの企業、個人が業務停止や遅延という打撃を受けた。本当に狙われたのは、B社の顧客の中の1社に過ぎなかったのだが、多くの顧客がとばっちりを食う形で被害に遭ったわけだ。
 DDoS攻撃の多くは、このケースファイルのように攻撃者の意図がはっきりとはわからない。業務妨害を図ったのだけは確かだが、ライバル会社による嫌がらせなのか、何らかの人間や組織関係のトラブルに関わる攻撃あるいは報復なのか。はたまた思想や政治的思惑に基づくものなのか。ケースファイルではRMT業者が狙われた(ベースとなっている実例がそうである)。ネットワークを利用した犯罪者が、自分の仕事に対する報酬を現金で受取る場としてRMTを利用するケースは多い。この事件にはアンダーグラウンドビジネス、あるいはそれに近いグレーゾーンのビジネスが関わっている可能性が色濃く漂っているようだ。

1-1

時間でレンタルできるボットネット

 DDoS攻撃をはじめ、さまざまな攻撃を代行する業者が諸外国ではあからさまに営業活動を行っている。もちろん表舞台に堂々と登場するわけではないが、探す意思を持ってWebを検索すれば、誰でもほどなくその一端となるデータ売買や攻撃価格などの情報に触れることができる。そんな情報があるのはアンダーグラウンド情報専門の情報交換サイト(フォーラム)や掲示板だ。そこは、いわば“アンダーグラウンドのマーケットプレイス”である。
 そこではさまざまな犯罪的、あるいは犯罪そのものの宣伝・広告が日常的に行われている。お金を払い、リスクを取っても攻撃を行いたいと思う者は、そこで業者と最初のコンタクトを取り、あとは指定されるインスタントメッセンジャー(IM)や専用のツールで売買の交渉を行うことになる。

■ボットネットは“3時間 数百ドル”でレンタル可能!?

 例えば、ケースファイルのようなDDoS攻撃をしたいなら、ボットネットの時間レンタルサービスが利用できる。3時間で1000台単位の感染PC(中のボット)を数百ドルで利用できるとする広告が出ている。
 ボットはすでに世界中の多くのPCに拡散・感染しており、ユーザに気づかれることなく攻撃者の指令を待っている。このようなボットネットを作り上げた、いわばボットネットの「オーナー」は、自分で作ったボットネットをほかの利用者に貸し出し、利用料金を獲得するビジネスを展開しているのだ。
 攻撃者は、DDoS用プログラムを作成し、時間借りしたボットに転送、各地から一斉に攻撃を仕掛けるようにするだけだ。長期間にわたって業務妨害をしたいなら、1日に何度か、何日にもわたって攻撃をしかけるようにすればよい。数千ドルかければ、かなり重大な損害をもたらすことができそうだ。
 ただし当然のことながら、国内でこれを試みる者は不正アクセス禁止法と刑法の電子計算機損壊等業務妨害罪で“処罰”される。またおそらく複数の被害者から巨額な損害賠償を求められるに違いない。またボットネット「オーナー」と称する者が実在するのかどうか、交わした約束が守られるかどうか、まったく保証がない。言うまでもないが、リスクは非常に高く、しかも道徳的にも法的にも許されることではないので決して試してはいけない。

図1 アンダーグラウンドのマーケット例
図1 アンダーグラウンドのマーケット例
Web上にあるアンダーグラウンドにおけるマーケットとしての「フォーラム(機械翻訳)」
資料提供:ラック

+拡大

図2 ボットネットによる攻撃のイメージ
図2 ボットネットによる攻撃のイメージ
※DDoS(Distributed Denial of Service:分散サービス妨害)
資料提供:サイバークリーンセンター

コラム:ネットワーク占拠でレスポンス悪化!SYN FloodによるDDoS攻撃とは?

 ケースファイルで取り上げた“SYN FloodによるDDoS攻撃”は、多数のPCから標的のドメインに向けてTCP接続要求(SYN)パケットを送りつけるものだ。通常はサーバがPCにACKパケットを返信して、それに対してPCからもACKパケットを送ってTCP接続が確立する。しかし、SYN Flood攻撃ではACKパケットをPC側から送らない。サーバは一定時間、ACKパケットを待ち続けることになる。多数のSYNパケットが送られると、サーバが対応できる限界を超えて、新しい接続ができなくなる。これが典型的なSYN FloodによるDDoS攻撃だ。
 ケースファイルの場合には、SYNパケットの送信元のIPアドレスが偽装されていたので、そもそもサーバからのACKパケットが届かない。また、サーバの前にファイアウォールの接続数が上限に達したことがサービス停止の原因になった。
 B社が最初にした対策はSYNプロキシの使用だった。これはゲートウェイに装置を設置し、SYNパケットを受信したら装置が代理で返答し、ACKパケットが返ってきた通信だけをサーバ側に流す仕組みだ。ファイアウォール製品の中にこの機能をもっているものがある。
 しかし、この方法にも接続数の限界はあり、しかもインターネットからゲートウェイまでのネットワークは不要な通信で帯域が占拠されてしまうため、一般の通信のレスポンスが悪化する。
 そこで攻撃されているサーバから対象のドメインを探し出し、そのドメインのDNS設定を変更することにより、B社のネットワークに攻撃パケットが流れ込まないようにする必要があった。


セキュリティ情報局にご登録頂いた方限定で「進化するアンダーグラウンドビジネスの実態」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


アンダーグラウンドビジネス/進化するアンダーグラウンドビジネスの実態」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「アンダーグラウンドビジネス」関連情報をランダムに表示しています。

アンダーグラウンドビジネス」関連の特集


 2009年に入って感染被害報告数が増加している不正プログラムの中で、前回は「WORM_DOWNAD…



特定のサーバを利用不可能にする「DDoS攻撃」。問題の手口から被害、対策方法までを詳しく解説します。



あらゆる不正行為を支援するアンダーグラウンドビジネス。サイバー犯罪に関する統計データを紹介するととも…


「その他ネットワークセキュリティ関連」関連の製品

セキュリティアプライアンス Aterm SA3500G 【NECプラットフォームズ】 ネットワーク分離ソリューション 【アクシオ】 SSL特化で暗号処理も安全性も向上 SSL Visibility Appliance 【マクニカネットワークス株式会社】
その他ネットワークセキュリティ関連 その他ネットワークセキュリティ関連 その他ネットワークセキュリティ関連
既存ネットワーク構成を変えずに簡単に導入可能。分かりやすい価格設定で中小規模の法人ユーザ向けに最適なUTM(セキュリティアプライアンス)。 二要素認証、操作ログ、標的型攻撃対策、ファイル共有、ネットワーク分離を構成する各プロダクトと構築サービス。 安心と思ったSSL暗号化は攻撃者も使ってくる、既に悪用は過半数

「その他ネットワークセキュリティ関連」関連の特集


 今回はシグネチャ型、シグネチャレス型を用いた多層防御による標的型攻撃対策を実施している事例を紹介す…



「在宅勤務」の活用は大きなメリットをもたらすが、導入にあたっては様々な不安があるという企業は少なくな…



 前回、入口対策としてサンドボックス技術を用いた機器の導入が進んでいるとお話しました。セキュリティ機…


「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003847


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ