NTTドコモは、サイバー攻撃により2日午前5時半ごろから続いた、Goo検索や”d払い”ショッピング機能などドコモの一部サービスにアクセスしづらい状況が回復したと発表した。
原因は大量のデータを送り付けるDDoS攻撃によるもので、午後4時10分に回復したという。ただ、復旧の対処に伴い、一部のコンテンツの更新などに影響が出るだろうとしている(テレ朝News)。
事実、4日になっても、Wifiでは相変わらず不具合が出て、アクセスできないなどの声が未だに上がっている。
サイバーテロとDDoS攻撃
元日明けの2日の朝、いつもの様に起きてGooブログにアクセスしようとすると全く繋がらない。何度やっても、どう足掻いても繋がらないではないか。
因みに、Gooブログを運営するOCNはドコモの子会社の様なものだが、3日まで休みとの事で、仕方なくNTTに電話した。
朝の9時半頃だったが、ドコモ側は”障害の情報は入ってないから、こちらでは何も出来ない”という。だが、後から考えるとサーバーがDDoS攻撃を受けた事が発覚したのは朝の5時半頃なので、明らかにウソをついてた事になる。
夜の7時頃になって何とか繋がる様になり、ログインしてGooブログ運営スタッフのコメントを見ると、それらしき報告もない。
少し頭に来たので、”無学過ぎるというか、OCNのセキュリティは外注だろうが、まともな知識と技術をもつスタッフを用意すべきだし、少なくとも幼弱なテーマサロンで遊んでる場合じゃない”と少し辛辣なコメントを送った。
事実、日本のこうしたサイバーテロに関する初期対応の拙さはいつも議題に上る。そして、今回も同じ様にセキュリティに関する様々な脆弱性が問題になっている。
因みに国内では、去年の年末以降、同様のサイバー攻撃を受けるケースが相次ぎ、先月26日にはJALや三菱UFJ銀行、りそな銀行、みずほ銀行でも不具合が発生していた。
某専門家によると、DDoS攻撃の容易性とその影響力の大きさから面白半分に行ってる可能性もある。昨年12月に京都でのスポーツジムへのDDoS攻撃が中学生による犯行で、代行サービスの存在とその利用の容易さが明らかになった。(JALを除き)一連のDDoS攻撃はほぼ同一犯と考えるべきで、大手銀行の脆弱性が顕になったと考えるべきだとしている。
確かに、昔はDDoS攻撃を行う事を予告し、ゲーム会社などへ金品を目的とした脅迫が行われていた。今回のドコモへの攻撃でも脅迫の可能性はありうる。今までもこれからも、様々な業種にDDoS攻撃を利用した脅迫が起こるだろう。
因みに、DDoSは攻撃元は偽装されてるから、発信元を解明するのが非常に難しいし、被害額も相当なものになるという。
そういう私も、+から始まる国際電話番号からの詐欺に引っ掛かったが、これもNTTファイナンスを偽装した詐欺だった。ただ、日本へのサイバー攻撃は年間約7億3551万件(2023年)とされ、その大半が中国や北朝鮮やロシア等の国ではないかとの声もある。
勿論、便利さの裏にはリスクがあるのは重々承知だが、DDoSという昔ながらの単純なサイバー攻撃で、これだけ簡単にセキュリティの壁が突破されたら、5Gになっても速度は遅いままで、年末年始になれば高速道路が混雑する様に、サイバ―攻撃が慢性的に起きてしまう。
今回のNTTへのDDoS攻撃とその対策に関しては様々な声があるが、私自身十人十色の様々な声を拾えた事で、勉強になった次第である。
そこで、DDoS攻撃とは何か?を少し掘り下げて紹介する。
FBIが警鐘を鳴らすリフレクター攻撃
FBIは数年前に、サイバー犯罪者による大規模な”DDoSリフレクション攻撃”を目的とした、新たな脅威が今後増大する可能性に警鐘を鳴らしていたが、では、どのような事態が想定されるのか?
DDoS(Distributed Denial Service)攻撃とは、攻撃対象となるサーバーなどに対し、不特定多数のPCから大量のデータを送りつけ、正常なサービス提供を妨げる行為である。
直訳すれば、”分散型サービス拒否”攻撃となるが、攻撃を受けたサイトやサーバーは、多くのリソースを攻撃の対処へ割き、やがてシステムダウンする。DDoS攻撃の目的はシステム運用を中断させる事で、企業や組織の被害は平均142万ドルとされる(2022年、IBM調べ)。
また、サイバー攻撃の中でも特にDDoS攻撃は対策が困難で、その理由にトラフィックの無差別な分散性と攻撃の多様性がある。故に攻撃元の特定が困難である上に、正常なトラフィックとの判別も簡単ではない。
2020年と少し古い記事ですが、「FBIが壊滅的なDDoS攻撃を警告」から大まかにまとめます。
FBIによると、DDoSリフレクション攻撃では攻撃者が少量のリクエストをサーバーに送信し、サーバーが被害者により多くのレスポンスを返す事で発生。多くの場合、攻撃元は送信元のIPアドレスを偽装し、被害者マシンの許容レベルを超えた負荷をかけるとする。
因みに、”リフレクション攻撃”とは、ネット上のサーバーを反射鏡(リフレクター)の様に悪用するDDoS攻撃で、その規模は反射鏡の作用により大きくなる。
こうしたプロトコルを悪用した最初の攻撃は2018年12月に発生し、(低電力下時の使用を想定して作られた)CoAPのマルチ機能とコマンド送信を悪用した。また、アクセス可能なCoAPの殆どは中国で発見され、P2Pを使用している。
更に、19年夏にはWS-DD(Webサービス動的検出)プロトコルを狙った130を超えるDDoS攻撃が行われ、350GB/sの規模に迫るものもあった。IoT(モノ同士で繋がるインターネット)デバイスは、WS-DDを使用して近くのデバイスを自動的に検出され、この様なデバイスが63万台にも及び、DDoS攻撃を増幅する温床となった。同年10月には、攻撃者がARMS(アップルリモートマネジメントサービス)を悪用し、リフレクション攻撃を仕掛けている。
翌年2月にも、研究者が某サーバー標準装備のネット検出プロトコルに脆弱性を確認し、DDoS攻撃のトラフィックを100倍近くに増幅する可能性があると指摘した。
一方でFBIは、”近い将来、サイバーテロは標準搭載のプロトコルが標準で有効になる多数のデバイスを悪用し、壊滅的なDDoS攻撃が可能な大規模ボットネットを構築する可能性がある”と述べている。基本的な事だが、その対抗策として、ファイヤウォールの設置やフォームウエアの更新、2段階認証の使用やDDoS攻撃緩和サービスを利用を、FBIは勧めている。
DDoS攻撃は、ターゲットから金銭を奪取し、或いは別の攻撃を隠す為に用いられる事が多く、様々な動機があるが、あらゆる攻撃により数百万ドル規模の損害が報告されている。
以上、Welivesecurityの記事からでした。
最後に
以上から理解できる様に、単純明快なサーバー攻撃だからこそ、犯人の特定は困難で、その手法は多様多岐に渡る。
壊滅的なDDoS攻撃に対抗するセキュリティ対策と言っても、これまた基本的な事ばかりで、判り易く言えば”備えありすぎても憂いあり”となる。
SNS上には無特定多数の多種多様な人種が世界中から集ってくる。そんな中でGooブログは日本国内のそれも中高齢者の集いに過ぎないし、大手企業や大手銀行なら判るが、こんなマイナーなポータルサイトにもサイバーテロの魔の手が伸びてくる。
まさに、日常に当り前の如く蔓延る危機と同じで、今回の様なサイバー攻撃に対処する運営部の大変だが、情報を隠蔽するのだけはヤメてほしい。リアルタイムで今回の様な通信障害がDDoS攻撃に依るものだと判れば、多くの利用者はパニックに陥らずに済む。つまり、原因が判れば対処法も自ずと決まってくるからだ。
ネットが不可欠なこの時代に、いつも当り前の様にアクセスしてるサイトにいきなり拒否されたら、誰だって冷静を失い、我ら大衆は秩序と行き場を見失った”蟻の軍隊”状態に陥ってしまう。
私自身、正月3が日はブログを休む気でいたから、そこまで動揺もなかったが、ログインはともかくGooブログだけがアクセス不能になったのには流石に驚いてしまった。
しかし、こういう事がない限り、DDoSという古典的で単純なサイバー攻撃が一瞬にしてサーバーをダウンさせてしまう事の怖さを等身大に理解する事はないだろう。
サーバーを反射鏡に見立て、不特定多数に分散されたサイバー攻撃を更に増幅させるやり方は、ハッカーらも常に学習し、巧妙に進化してる事を物語る。
そういう意味でも、こうした被害にあった時は情報公開を(正月休みであろうが)リアルタイムで明確にし、公表すべきである。
※コメント投稿者のブログIDはブログ作成者のみに通知されます