Edited at

IoT Botnet 新時代の到来 時系列まとめ

More than 3 years have passed since last update.

2016年、DDoS攻撃は新しい時代に突入しました。

つい先日にDDoS記事を書いたばっかりなのにもう陳腐化してしまって悔しいのですが、9月〜10月の大事件連発っぷりが結構面白いのでまとめてみました。


時系列まとめ


2016/06/20 当時史上最大規模のDDoS攻撃が発生

当時最大規模のDDoSが発生しました。詳細はAkamaiがレポートを出してくれているので知りたければ読んでいただきたいんですが、この後の話とこのDDoS攻撃に関連性はありません。この場で言いたいことは当時の最大は363Gbpsだったという話です。当時といっても古い話ではなく2016年6月なんですけども。また、この攻撃はリフレクションDoSがメインでした。


2016/07/16 DDoS攻撃代行サービス「vDoS」が明るみに出る

セキュリティに関する個人ブログ Krebs on Security にて、イスラエルの少年2人がDDoS代行サービスで荒稼ぎしていることが記載されます。

vDoSの2人は、Hack ForumsというWebサイトにてDDoS代行を受け付けて攻撃していたようです。


2016/09/08 vDoSのメンバー2名が逮捕される

Krebs on Securityでの告発から約1月半、vDoSメンバーの2名が逮捕されます。このスピード逮捕からいって、当局も情報を掴んでいたんでしょうかね。

16歳から攻撃サービスを立ち上げて荒稼ぎしていた、という年齢的な部分でも結構驚きの犯人でした。


2016/09/20 Krebs on Security が史上最大規模の攻撃をうける

vDoSの逮捕から12日、一連の記事を書いたKrebs on Securityが史上最大規模の攻撃を受けます。

6月時点で塗り替えられた史上最大規模の攻撃が363Gbpsだったわけですが、この攻撃では665Gbpsものトラフィックが流れ込みました。ほぼダブルスコア!驚異的な量です。

Krebs on SecurityはAkamaiの無料プランにてDDoS対策を行っていましたが、さすがにこのトラフィックを無料でさばくことはできなかったようで、Akamaiのサービスから外されます。その後はGoogleのProject Shieldに移行して対処されたかに見えましたが、再度ページは落ちてしまいます。

また、同時期にフランスのISP OVHにもDDoS攻撃が行われていたとされ、そちらには1.1Tbpsものトラフィックが流れたとのことです。

この攻撃はvDoS逮捕のタイミングに近かったこともあり、vDoS記事への報復攻撃ではないかと言われていました。また、膨大なIPアドレスからのアクセスであり、IoTデバイスを使った新手のDDoSと予想されました。


2016/09/30 史上最大規模の攻撃を打ち込んだマルウェアが公開される

攻撃から10日、今度はなんと史上最大規模の攻撃を行ったマルウェアのソースが公開されてしまいます。ソースの公開先はHack Forums、例のvDoSでも使われていたサイトでした。

ツール名はMirai、投稿者の名前はAnnna-SenpaiF5の真面目なセキュリティ記事にアニメの解説が入るという異常事態。ちなみに私はMiraiと見て、ガンダムのミライさんかスマートドールの末永みらいちゃんかと思いましたが、F5の記事いわく未来日記だそうです。

Anna-SenpaiはKrebsへの攻撃を行ったことを認めていますが、一方でvDoSとの関連は言及していませんでした。そのため、実際のところはvDoS逮捕と関連があったかは謎です。あくまでDDoS産業の一員として書かれているので、「Krebsを攻撃して欲しい」という依頼で動いた可能性も高いと思います。

なお、ツールを公開した理由として「DDoS産業に長いこといる気はなかった」「稼ぐだけ稼いだから出てくよ」的なことを書いていましたが、Miraiを解析したサイトに「このDDoSキッズはカンフーが足りない」と書かれた事にやたらと言及していたので、結構煽られ耐性低い人っぽいです。若いのかもしれません。

さて、このMiraiですが、特徴的なのがIP Cameraや脆弱なルータ等をbotnetに組み込む挙動です。安価な監視カメラはインターネットに接続されていながらセキュリティがザルで、ものによってはtelnetでrootログインできるパスワードがデフォルトから変更不可だったりします。そのような機器をガンガン乗っ取り、巨大なbotnetを構築、そこから大量の攻撃を実行することで超大規模攻撃を実現していました。


2016/10/21 Dyn社がMiraiの攻撃でダウン

Miraiが公開されてから約1ヶ月、DNSサービスを提供するDynが攻撃され、twitterやSpotifyがダウンする事態となりました。Dynはその後のレポートにて、Miraiからの攻撃と断定しています。

Anna-SenpaiはDDoS産業から出ていくと言った直後なので、おそらくKrebsを狙った人とは異なる人物による犯行でしょう。


これから起こる事の予想

──というわけで、ほんの数ヶ月のうちに状況がドラマティックに展開しているDDoS界隈でございます。まさか攻撃ツールのソースが野に放たれるとは誰も想像していなかったんじゃないでしょうか。

Miraiの恐ろしい点は、今までに無いほどの巨大なbotnetを構築したこともありますが、多彩な攻撃手段も脅威です。

今まではトラフィックの多い攻撃であればリフレクションDoSであり、リフレクションDoSはトラフィックこそ多いものの送られるパケットは無意味なUDPパケットなので、攻撃自体はワンパターンなものでした。しかし、MiraiはSyn FloodやHTTP Floodなどなど、様々な攻撃を大量に流し込むことが出来てしまいます。Dynを襲った攻撃も、DNS水責め攻撃という少し変わった攻撃です。様々な攻撃が行えるので、弱点があればそこを狙い撃ちできてしまうわけです。

ソースが公開された今、DDoS代行サービスを行う人々はこぞって改造・機能追加を行うことでしょう。さらに多彩な攻撃機能を持ったbotnetが産まれることは間違いありません。

誰でもbotnetが作れる時代になってしまったので、DDoS攻撃代行サービスもより増加するのではないでしょうか。DDoS対策が難しくなり、産業化が進んでいるため、DDoS攻撃の犯罪的な側面がより強くなると予想しています。


今、行うべきことは

大流量のトラフィックによる攻撃を防ぐのが難しいことは前回記事でも簡単に述べましたが、そのような大規模攻撃がさらに増加する可能性は高いです。

一方で、脆弱だったIP Cameraのメーカーはファームウェアのアップデートを行い始めたため、ちゃんと管理されたデバイスであればMiraiに乗っ取られる可能性は低くなります。だからこそ、インターネットに接続するデバイスをちゃんと管理することが大事です。

攻撃された場合の対処はカネを積まないと難しい(Krebs on SecurityのKrebs氏にも、「ウチのサービスを使えばDDoS攻撃されても大丈夫だよ!」というオファーが世界中から来たそうですが、個人ブログの運営で払える金額じゃなかったので断ったと述べています)のですが、攻撃に参加しないように気をつけていこう、という話です。

結局は何十年も前から言われてるようなことと変わらない話ですね。その範囲が、「コンピュータ」だけではなく、「インターネットにつながるモノ」に広がった、という話です。