Anonymousによるイスラエルの各WebサイトへのDDoS攻撃事例、ボットネットからの実行も判明
2013年4月7日、イスラエルの複数のWebサイトが国際的なハッカー集団「Anonymous(アノニマス)」の標的になりました。各報道によると、特定のイスラエル政府関連、民間企業のWebサイトがアクセスできなくなり、「分散型サービス拒否(DDoS)攻撃」の被害に遭ったと考えられていました。
2013年4月7日、イスラエルの複数のWebサイトが国際的なハッカー集団「Anonymous(アノニマス)」の標的になりました。各報道によると、特定のイスラエル政府関連、民間企業のWebサイトがアクセスできなくなり、「分散型サービス拒否(DDoS)攻撃」の被害に遭ったと考えられていました。
DDoS攻撃についての報道によると、標的となったWebサイトはオフラインになのかそうでなかったのか取り扱い、DDoS攻撃がどのように実行されたかは往々にして説明していません。トレンドマイクロでは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」から収集した情報を元に、何が起こったのか明らかにしました。実際のところ、「攻撃者」の多くが実は、不正プログラムに感染した「システム端末」、つまりゾンビ化したPCであり、今回の攻撃を実行するために利用されていました。
今回の攻撃において、標的となったWebサイトの1つへのトラフィックは、普段の日であれば、イスラエル国内から圧倒的にアクセスされています。その割合は、90%以上にもなります。しかし、攻撃があった当日、同国内からのトラフィックの割合は、逆に、たったの9%にしか達しませんでした(図1参照)。

図1:攻撃があった当日のトラフィック – 国別割合
イスラエル国外からのトラフィック増加は、そつなく分散されており、同国を除く27カ国からのユーザから標的となった各Webサイトにアクセスされていました。図2によると、攻撃が発生した当日の7日頃、トラフィックの著しい急上昇に注目すべきです。

図2:攻撃が発生した7日前後のトラフィックの比較
トレンドマイクロでは、標的となったWebサイトへアクセスしたIPアドレスを検証すると、こうしたIPアドレスが一部、サイバー犯罪者の制御下にあるさまざまなボットネットに利用されていることを確認しました。また、さらなる検証の結果、これらIPアドレスは、偽セキュリティソフト型不正プログラム「FAKEAV」や身代金要求型不正プログラム(ランサムウェア)、エクスプロイトキットといった他の攻撃で過去に悪用されていたことも特定されました。
今回判明した事実は、大規模なDDoS攻撃が、少なくとも一部において、Anonymousといったハッカー集団だけではなくサイバー犯罪者によっても同様に、どのように攻撃を実行しているのか浮き彫りになりました。そして、こうした攻撃が大した損害を与えないものであると考えられている場合もありますが、実際は、まったくそうではないことを念頭に置いておくべきでしょう。