DDoS攻撃の威力を世界規模で示した事例の物語 『Mafiaboy』

サルでもわかるDDoS攻撃の説明

DDoS攻撃の概要を専門用語を使用せず、コンピュータの素人でも理解できるよう超簡単に説明してみたいと思います。

とりあえずインターネットの仕組みのおさらいから始めます。

HTTP とは

http
画像:How the Web Works

上の図の右側に位置するパソコンはあなたのものと仮定します。

左側のものはあなたが見たいと思っている Webサイトのデータを保持するサーバです。

あなたはインターネットを使用するために、ブラウザを開きます。

browsers
画像:Your Say: Microsoft Edge Won’t Replace Google Chrome, Firefox on Day 1

ブラウザはいつも使用しているのに「ブラウザ」という名称を知らない方がたまにいますが、これはあなたがインターネットに接続するために使用しているアプリケーションです。

パソコンのであれば Internet Explorer (Edge) や Chrome、Firefox あたりを皆さん使用しているでしょう。

safari

iPhone の場合は Safari のはずです。

これらのアプリケーションをブラウザといいます。

もう少し深く説明すると、ブラウザは HTTP というプロトコルを使用してデータのやり取りをするツールです。

プロトコルとはルールのようなものだと思ってもらえればいいでしょう。

じゃんけんにおいては「パー」は「グー」に勝ち、「グー」は「チョキ」に勝ち、「チョキ」は「パー」に勝つというルールが存在します。

そのルールが全ての人の間で共通化されていないと、じゃんけんは成り立ちません。

同様に、コンピュータ間もルールが存在しないとお互いに通信が成り立ちません。

そのルールのことをプロトコルといいます。

つまり上の図で示したように、あなたの使用しているブラウザとデータを保持しているサーバの間で通信上の取り決めごとが必要になるわけですが、それをプロトコルというのです。

インターネット上で使用するプロトコルは決して HTTP だけではなく SSH、FTP やそれ以外にも数多く存在しますが、現在インターネット空間におけるやり取りのかなりの部分を HTTP が占めていて、インターネットと HTTP が同義語かのように扱われています。

さて、あなたはドナルド・トランプ氏関連の記事を読みたいと思い、インターネット上に存在するドナルド・トランプ氏の頭はおかしくない – 彼の演説の趣旨を整理してみるというリンクをクリックします。

そのリンクには https://eigo-shutoku.com/donald-trump-is-not-insane/ という文字列が割り当てられています。

左端にあるのは上で説明したプロトコル http です。

https

https と s が付いてますが、これは SSL通信という、やり取りするデータを暗号化するセキュリティプロトコルです。

https で通信することにより、中間者攻撃によって盗聴被害を受けても、あなたのやり取りしたデータは単なる暗号文なので攻撃者に内容が漏れる可能性はほぼゼロです。

全てのページを https にする必要性はありませが、重要な情報を送信するページにおいては https でやり取りしてしかるべきです。

たまにログイン画面で https が使用されていないサイトが存在しますが、パスワードが盗聴される可能性があるという問題のみならず、そもそもセキュリティに関して極めて無頓着な証拠ですので、そういった Webサービスは始めから使用しないことをオススメします。

話を戻します。

https 以下の //eigo-shutoku.com/donald-trump-is-not-insane/ は何かと言いますと、そのお目当てのデータが存在するインターネット上の住所だと思ってもらえればいいです。

そして実際にクリックすることにより裏でどのようなことが起きているかというと、その記事が格納されているサーバに対して「データをください」とリクエストを送信しているのです。

そしてサーバはそのリクエストに応じて、指定されたデータをあなたのパソコンのブラウザ目がけてリスポンスとして返信しているのです。

このデータをあなたのパソコンのブラウザが組み立てて完成したものが、まさしくあなたがブラウザ上で見ているページなのです。

context-menu-source

ちなみにあなた用にキレイに組み立てられたページではなく、サーバから送信されてきた生のデータは見ることができます。

パソコンを使用している方はページ上で右クリックをしてみてください。

そこに表示された「ページのソースを表示」という部分をクリックすることにより表示されるゴチャゴチャした文字列がまさしくサーバが送信してきた生データです。

Webデザインなどの経験がない方にとっては何のことかさっぱり分からない文字列の塊に見えるかもしれないですが、そのデータをあなたのためにブラウザがキレイに組み立ててくれているのです。

Dos攻撃とは

本題に入ります。

先ほどからネット空間でやり取りする情報のことをデータと言っていましたが、このデータのことを一般的にはパケットと言います。

Dos攻撃とは単純に言ってしまうと、標的であるサーバが処理できる以上のパケット一度に大量送信することにより、そのサーバをダウン (機能不全) させることです。

聖徳太子は10人の人たちから一度に話しかけられ、それらを全てを理解したという伝説がありますが、単なる伝説でしょう。

人が一度に行える処理には限界があります。

それと同様にコンピュータが一度に処理できることにも限りがあります。

パソコン上でブラウザ、Microsoft Word、LINE、Skype など様々なアプリケーションを一度に立ち上げ使用するとパソコンの動作が停止してしまうことがあります。

これはパソコンが「こんなにたくさんの処理を一度に実行できないよ!」と悲鳴を上げている状態なのです。

サーバがダウンするとはつまりこのような状態です。

サイバー攻撃というと難しく聞こえますが、Dos攻撃はパソコンの素人でも疑似的に実行することができます。

つまり標的とするサーバに対してリクエストという形でパケットを連続送信すればいいだけの話なのです。

f5
画像:Life Lessons I Learned from a Computer Keyboard

キーボードの上部に「F5」というボタンが存在すると思います。

これはページ更新のボタンなので、ブラウザ上で実行すると現在表示しているページの再リクエストをサーバに対して送信します。

つまり、F5を連続で押し続けると短時間で多くのパケットを送信できるのです。

これをF5攻撃と言います。

一番原始的なサイバー攻撃とも言えるでしょう。

もちろんあなたがどれだけ頑張っても、ひとりで送信できるパケット量には限界がありますので、この手法でサーバをダウンさせることは不可能でしょう。

ただし、例えばインターネットの掲示板などで、

●日の●時●分に×××を攻撃しようぜ!

などという約束事を万単位の人たちに呼びかけて実行すると、ネットワークの規模にもよりますがダウンさせることができる可能性があります。

基本的なことを話すと、DoS攻撃とはサーバをダウンさせることそのものが目的のインターネット空間内での一種の嫌がらせ行為です。

DoS とは Denial of Service Attack (サービス妨害攻撃) の省略です。

DoS攻撃の手法としては SYN floodUDP flood など複数ありますが、ここでは区別を付けて説明はせず単純に DoS攻撃とします。

一番単純な方法が上記した F5攻撃ですが、ハッカーなどプログラムを自分で書ける人たちはそのような幼稚で面倒なことはしません。

ウィルスを作成し、世界中のコンピュータに感染させ自身の配下に置き、クリックひとつで一斉に攻撃を仕掛けることができる仕組みを構築してしまうのです。

このような形でハッカーの配下に置かれたコンピュータをボットまたはゾンビコンピュータと言います。

ボットとはロボットの省略です。

そしてこのようにして組み立てられた巨大なネットワークをボットネットと言います。

皆感知していないだけで、インターネット上ではこういったボットネットが数多く存在しています。

犯罪を助長する可能性があるので深くは説明しませんが、こういったボットネットはインターネットで商品としてやり取りされています。

皆さんも仮に英語でコミュニケーションが取ることができれば、海外のサイバー犯罪集団にお金を支払い彼らのボットネットをレンタルすることができます。

「まさか?」と思われるかもしれませんが、実際に皆さんが Google や Yahoo! の検索エンジンを使用して閲覧している Webサイトなどはインターネットの単なる表面上のものにすぎません。

Silk Road
画像:Mistakes Made by Silk Road’s Dread Pirate Roberts

インターネット内には深層Webと呼ばれる、通常アクセスすることのできないサイトが数多く存在します。

それらのサイト内では違法なアダルト商品や他人のクレジットカード番号、麻薬や銃、さらには殺人依頼まで取引されています。

上の画像は日本でも少し話題になったシルクロードというかつて存在した闇サイトですが、様々な違法取引が行われていました。

これと似たサイトは他にも数多く存在します。

警察でもトラッキングできないよう完全に匿名化をするツールはインターネット内に無料で出回っているので、こういった犯罪取引は後を絶ちません。

このような取引で年間に億単位を稼ぎ豪遊生活をしているサイバー犯罪者は世界に数多く存在します。

日本のいわゆる暴力団と呼ばれる人たちがこういったビジネスに本格的に乗り出しているという話は耳にしたことがありませんが、おそらく英語でコミュニケーションを取ることができないので参加できないのでしょう。

話がだいぶそれましたが、ネット内でボットネットをレンタルし、そのツール上で簡単なクリック操作を行うだけでニュース番組で報道される規模のサイバー攻撃を仕掛けることは可能です。

こういった多数のコンピュータを一斉動員する形の DoS攻撃を DDos攻撃と言います。

DDoS とは Distributed Denial of Service Attack (分散型サービス妨害攻撃) の省略です。

ちなみに Dos攻撃ツールはインターネット内で無料でダウンロードが可能です。

ですが悪用は厳禁です。

攻撃するのであれば自身が構築したサーバに限定してください。

以上のツールは LOIC と呼ばれるもので、本来はネットワーク負荷テストツールです。

LOIC には Hive mode という機能が存在し、これを使用すると世界中で LOIC を使用しているユーザのコンピュータを集約し DDoS攻撃を仕掛けることが可能となります。

DoS攻撃は対象とする Webサービスを一時的にアクセス不可にするという嫌がらせが基本ですので人命被害が出るとは考えにくいです。

ただし、だからと言って何も考えずに実行すると重大な結果を招くので注意してください。

ほとんど管理されておらず、放置されていて誰も閲覧していないようなブログなどであれば、サイトがダウンしたところで目に見える被害というのは存在しないかもしれないですが、仮にインターネット上で商品売買を行っているような大手サイトをダウンさせた場合以下のような被害が発生します。

  • サイトの信用性が下がる
  • 運営企業の株価が下落
  • ビジネスチャンスの喪失

結果として逮捕された場合にはとてつもない額の損害賠償請求を受けることになります。

あなたが大学生であれば退学するハメになるでしょう。

会社員であれば解雇処分です。

絶対に他人のサーバに向けて DoS攻撃を仕掛けてはいけません。

軽い気持ちで実行したとしても、あなたは人生を棒に振ることになるでしょう。

DDoS攻撃対策は極めて困難

ddos
画像:DDoS Attack on DNS; Major sites including GitHub PSN, Twitter Suffering Outage

では DDoS攻撃を防ぐ方法は存在しないのでしょうか。

答えを言ってしまうと、防ぐのは極めて困難です。

例えば DoS攻撃のひとつに HTTP flood という手法がありますが、これは皆さんがサイトへ接続するときにサーバへ送信するリクエストとなんら変わらないパケットを送りつけるので、サーバ側ではそれが攻撃用のパケットなのか、正規のリクエストであるのかを瞬時に判断することが難しいです。

たとえ話をします。

テレビ番組などで商品が紹介されたりしますと、その商品を扱っているサイトに一時的にアクセスが集中し、接続できないことがあります。

皆さんも経験したことがあるのではないでしょうか。

極端な話ですが、多くの人たちから大量のパケットが一斉に送信されているという状況だけを見ると、これは DDoS攻撃をしているに等しいです。

もちろんサービスの妨害が目的ではなく、サイトの情報を閲覧したいという正規のリクエストですので DoS攻撃というのは不適切な表現ですが、大量のパケットが送信されてくるという観点では同じです。

もちろん皆さんは純粋にそのサイトを閲覧したいと思っている方々なので逮捕されることはありません。

テクニカルな話になってしまうので、深く説明するつもりはありませんが、実際には IP制限や CDN を利用したリソースの分散化など様々な手法で DDoS攻撃のダメージを軽減する対策が講じられています。

ただし、2016年10月21日にも Mirai というマルウェアに感染した巨大なボットネットにより DNSプロバイダに対する大規模な DDoS攻撃が実行され数多くの有名サイトへのアクセスが一時的にできなくなるという事態に発展しました。

Mirai (未来) と日本語名が付けられているところが少し気になります。

Twitter も被害を受けたサイトのひとつであり、私自身も使用しているソーシャルメディア管理ツールである HootSuite が突然 Twitter API に接続できなくなったので、不思議に思っていたところ Mirai の DDoS攻撃が原因だったのです。

全く持って他人事ではありません。

ちなみに Mirai はソースコードが一般公開されており、分析の結果ブルートフォースと呼ばれる、極めて原始的な攻撃手法で感染を広げたことが分かっています。

ブルートフォースとは総当り攻撃のことで、パスワードを片っ端から試していくことで正しいパターンを突き止めるという方法です。

現在では IoTデバイスと呼ばれるインターネットに接続されている電気機器が数多く店頭に並んでいます。

それらの多くはパスワード認証で守られていますが、多くの人たちは工場出荷時に付与されているお世辞にも強固とは言えないパスワードを変更しないまま使用していたりします。

Mirai はそこを狙い撃ちにして感染を広げていったのです。

脅威というのは意外と単純なところから発生するものです。

今後も DDoS攻撃の被害というのは世界で続出するでしょう。

DDoS攻撃の威力を全世界に示した事件

michael-calce
画像:10 hackers más famosos de la historia

悪名高き DDoS攻撃の威力を全世界に示した最初の事例はどれでしょうか。

それは2000年の2月7日に発生しました。

Yahoo!、Amazon、Dell、eBay、CNN など誰でも聞いたことがあるような巨大企業のホームページが次々と DDoS攻撃を受けダウンしたのです。

当時盛んに報道されましたが、結果として逮捕されたのはネット内で Mafiaboy の異名を持っていた Michael Calce (以下マイケル) という当時まだ15歳の少年でした。

彼はイタリア系カナダ人なのでイタリアの犯罪組織である Mafia をニックネームとして使用していたということです。

一部メディアが「天才ハッカー」として持ち上げるような報道をしましたが、実際のところ彼は他人が作成した DoSツールを使用しただけにすぎませんでした。

このように、他人が作成したツールでハッキング行為やサイバー攻撃などを繰り返す人たちのことをスクリプトキディといい、本物のハッカーたちからはからかいの対象となります。

mirc

現在でも存在しますが、インターネット内に IRC と呼ばれるチャットアプリケーションが存在します。

世界中のハッカーたちがコミュニケーションを取り合うために使用するツールですが、その当時からハッカーの間で nuke と呼ばれるちょっとした DoSツールで相手を攻撃し、ネットワークを遮断することによりチャットルームから追い出すというようなイタズラ行為が盛んに行われていました。

ただしそれは時にハッカーグループ同士のサイバー戦争へと発展し、中には相手のパソコンに侵入し個人情報をネット空間にバラまくというような事態にまで発展することもあったようです。

戦争と言っても相手を銃撃して殺してしまうわけではないので、そこまで残酷な行為ではないですがそれが高じると World of Hell といったアメリカ人の少年たちを中心とするハッカー集団のように中国本土に対して大規模なサイバー攻撃を仕掛けるというようなことにエスカレートすることもあります。

マイケル自身は IRC でやり取りされるハッキングツールなどを使い、大学などの研究機関のネットワークへの侵入を繰り返していました。

子どものころの話なので、おそらく彼はゲーム感覚でハッキングをしていたのでしょう。

大学などのネットワークには数多くのコンピュータが接続されおり、侵入に成功するとそれらシステムを一気に支配下に置くことができるので格好のターゲットです。

そのうち彼の功績が TNT Force というロシアのハッカーグループの目にとまり、参加を許可されます。

TNT は凄腕のプログラマなども擁する正真正銘本物のハッカー集団です。

彼は TNT と対立するハッカー集団を IRC から駆逐するためロシア人メンバーのひとりに DoSツールの作成を依頼します。

そのロシア人はかなりのスキルがあるプログラマだったらしく、サイバー戦争において TNTメンバーへの武器供給役だったようです。

その DoSツールは Trinoo と呼ばれ現在でもソースコードが入手可能ですが、彼はその威力を試すべく、あらかじめハッキングをして支配下に置いていたコンピュータを統合し上記した大手企業に対して大規模な DDoS攻撃を実行することを計画します。

彼はその計画を Project Rivolta と名づけました。

Rivolta とはイタリア語で「暴動」のことです。

そしてアリバイ工作として、彼が学校にいる間に攻撃が実行されるようタイマーを仕組んだのです。

計画が上手く実行されるかどうか気になり、おそらく授業に全く集中できなかったでしょうね。

学校が終わり帰宅してインターネットに接続すると「Yahoo!がダウンした」とネット内の掲示板では大騒ぎになっていたということです。

作戦大成功です。

話の経緯は省略しますが、結果として彼は逮捕され8カ月間の拘留と1年間の保護観察期間、インターネットの利用制限と少額の罰金という今では考えられないような軽い刑で済まされました。

おそらく彼の当時の年齢と時代背景が刑を軽くしたのではないでしょうか。

1980年代後半や90年代など、初期のころのハッキング行為はサーバに侵入することそのものが目的で、自らのスキルを仲間に見せつけるということ以外のなにものでもありませんでした。

ハッキング行為が本格的にマネタイズされはじめ、あからさまなサイバー犯罪集団が暗躍するようになるのは2004~2005年頃からです。

max-long-hair
アイスマンことマックス・バトラー

ザ!世界仰天ニュースで放送された「天才ハッカーアイスマンの正体」において紹介されるサイバー犯罪などはあからさまにお金儲けが目的です。

ちなみにこの放送内容はデタラメで、そのことは天才ハッカーアイスマンの正体とマックス・バトラーの素顔シリーズで説明していますので、興味のある方はそちらをご覧ください。

話がそれましたがマイケルが DoS攻撃を仕掛けた2000年というのは、まだ世間がハッキングやサイバー攻撃をあまり深刻に受け止めていない時代だったのです。

それより以前に存在した Realm というオーストラリアのハッカー集団も、かなり大規模にハッキングを繰り返していたにも関わらず逮捕されたメンバーの少年たちは執行猶予判決で済まされています。

仮に現在マイケルが同じ規模のサイバー攻撃をしかけ逮捕されることがあれば、彼は一生かけても支払いきれない損害賠償金を請求されるでしょう。

時代は変わったのです。

Mafiaboy のその後

マイケルは自分が犯した犯罪が当時盛んに報道されたことを逆手に取り、テレビなどへの露出を始めるようになりました。

サイバー犯罪に寛容な時代背景によって助けられた面があるので、彼は運がよかったともいえるでしょう。

ただし逮捕により拘留され、ずいぶん嫌な思いもしたということです。

ひとつだけ得をしたことがあるとすれば、事件がきっかけ顔が売れ女性からモテたということ程度らしいです。

いつの時代も悪に惹かれる女性は一定数存在するのですね。

彼自身は決して凄腕プログラマではないものの、IRC 内で繰り広げられる様々なサイバー戦争を経験してきており、インターネット空間内で暗躍する犯罪者たちから自らの身を守る術を熟知しているので、その話に耳を傾ける価値は十分にあります。

彼は自身の経験を世に知らしめるために本の出版を決意しました。

その本が『Mafiaboy: A Portrait of the Hacker as a Young Man』です。

この本は、彼はどのようにしてパソコンに没頭するようになったのか、そしてどのようにして IRC というハッカーが暗躍するサイバー世界に身を投じ、結果として複数の大手サイトを標的としたサイバー攻撃を仕掛けるにいたったのか、そして逮捕後の経験など様々なことを記述している伝記です。

当時のインターネット内の動向を知るにもとてもいい本です。

本全体を通してコンピュータの専門用語が出てこないので素人でも読みやすい作りになっている書籍です。

興味のある方はぜひ手にとって見てください。

おすすめの一冊です。


シェアする

  • このエントリーをはてなブックマークに追加

フォローする