はじめに

昨年 9月から米国の複数の大手銀行が断続的にかなり大規模な DDoS攻撃を受けていることを皆さんご存知だろうか? どうも日本ではあまり報道されていないような感じなので、もしかすると知らない人も多いかもしれない。攻撃規模が大きいのと、数週間にわたって攻撃が継続している(現在も続いている)ことから、それなりに注目されている事件である。このエントリでは “Operation Ababil”と呼ばれているこの攻撃作戦の概要についてまとめてみたいと思う。

攻撃の原因は？

そもそもの発端は “Innocence of Muslim”という映画にある。エジプト系アメリカ人の監督が撮影した反イスラムをテーマとしたこの低予算映画は、2012å¹´6月に公開され、7月にはいると監督自身によって 13分余りの予告編が YouTubeにアップロードされた。

当初ほとんど注目されていなかったが、9月までにこの動画にアラビア語の字幕がつけられると、イスラム教を侮辱する内容だとして主にイスラム教国家において批判が巻き起こった。9月にエジプトやリビアなどで起こった米国在外公館襲撃事件の引き金ともなっている*1。

そしてこれと時を同じくして、Pastebinで "Izz ad-Din al-Qassam Cyber Fighters"を名乗る人物による攻撃予告文が公開された*2。最初のターゲットとして Bank of Americaと NewYork Stock Exchangeを指定し、動画が削除されるまで攻撃を行うと宣言したのである。映画とは直接関係のない金融機関を狙った理由だが、自分達に対して行われたことに釣り合うだけのインパクトがあり、米国の政治家や意思決定を行う人々に自らの主張を伝える効果が高い(それくらいの影響がある)、と考えたからのようだ。

なお Googleは複数のイスラム教国家において、問題の動画への閲覧を制限する措置をとっているようだが*3、動画の削除には応じる気配をみせていない。表現の自由を最大限に尊重する米国においては、違法にアップロードされたものでない限り、そう簡単に削除するわけにはいかないようだ。

攻撃の規模は？

攻撃は 9月から10月にかけて行われた Phase1と、12月から1月にかけて行われ現在も続いている Phase2に分けられる。

Phase1で攻撃のターゲットとなったのは、Bank of America, JPMorgan Chase, Capital One, SunTrust, Regions Bank, BB&T, HSBC, PNC, Wells Fargoなどの金融機関。DDoS攻撃対策サービス大手の Prolexic Technologiesはターゲットとなったある顧客の環境において、最大 70Gbps (30Mpps)の攻撃トラフィックを観測したことを明らかにしている。それによると ICMPや UDPパケットで回線を埋めつくすタイプの単純な攻撃だけでなく、サーバのアプリケーションレイヤーへの攻撃、SSLへの攻撃など複数の攻撃手法を組み合せているようだ。

• サイバーセキュリティおよび DDoS の脅威アドバイザリ | Akamai

攻撃は10月末から一時止まっていたのだが(イスラムの祝日などによる)、12月にはいると Phase2として再び攻撃が始まった。これまでターゲットになったのは、Citigroup, Wells Fargo, HSBC, PNC, Capital One, Ally Financial, BB&T, Suntrust, Fifth Third Bancorp, Zions Bancorporationなどの金融機関。Phase1で攻撃を受けたところを含めて、攻撃対象が拡大しているようだ。
DDoS攻撃対策サービス大手の Arbor Networksによると、Phase2において最大 60Gbpsの攻撃トラフィックを観測している。Phase1と同様に ICMP, UDP, HTTP, HTTPSなどによる複合攻撃だが、さらに新しいバージョンの攻撃ツールが使われているという。

• http://ddos.arbornetworks.com/2012/12/lessons-learned-from-the-u-s-financial-services-ddos-attacks/

Prolexicや Arborなどのサービスを利用して攻撃を防いだところもあるようだが、サービス停止に追いこまれるサイトもかなりある。例えば PNCは Phase1の攻撃において、9/27から 9/28にかけて 31時間にわたる DoS攻撃を受け、顧客へのサービスに影響があったことを認めている。

• Message from Bill Demchak Concerning Recent Denial of Service

また Wells Fargoも Phase1の攻撃に関して、Twitterでサービス停止について顧客に謝罪している。

米国の一流の金融機関であるから、一般の企業に比べてセキュリティ対策はかなり強固なものと思われるが、それでも 60-70Gbpsクラスの DoS攻撃を受けては相当厳しいだろう。Arborや Prolexicなどの報告によると、近年では 10Gbps越えの攻撃は常態化している。このクラスの攻撃を一般企業が自社で防ぐことはかなり難しく、世界的に見ても DDoS対策専門のサービスを利用して防ぐしかないのが現状である。

ところで攻撃規模に関しては一つ注意点があるので補足しておきたい。Prolexicなどの DDoS攻撃対策サービスでは世界各地に複数のデータセンターを持っており、IP Anycastを使って攻撃トラフィックを最寄りのデータセンターで分散処理している。従って 70Gbpsと言っても 1箇所で処理しているわけではなく、ピーク時の全ての攻撃トラフィックを合計した値だと思われる。(攻撃トラフィックの発生元が狭い範囲に集中しているのであれば別だが。)

攻撃の方法は？

次に攻撃方法(ツール)について見てみよう。さきほどから紹介している Arborや Prolexicなどが攻撃ツールについても報告しており、それによると攻撃者は複数のツールを利用していることがわかっている。また攻撃時期によって変化もしているようだ。代表的なものは Itsoknoproblembro (It's OK. No problem, bro! と読む、別名 brobot)という PHPスクリプトによる攻撃ツールである。規模の大きい DDoS攻撃を実施する場合、Botnetを利用して大量の Botからの攻撃トラフィックを一度に集中させる攻撃が一般的である。今回も同じように Botnetを利用しているのだが、クライアントPCに設置した Botでなく、サーバに設置した Botを使っている点がやや新しい。WordPressや Joomlaなどの既知の脆弱性を突いて複数のサーバ上に PHPの攻撃スクリプトを設置しておき、攻撃者からの指令を受けてこれらの Botが一斉に攻撃を行っている。

以下に攻撃コードのサンプルを示す。(TCPによる攻撃を行う stcp.phpのコードの一部)

while(time() < $max_time)
	{
		if(time() > $release_time && $first1==0)
		{
			$first1=1;
			$address_host="http://".$_SERVER['HTTP_HOST']."/".$_SERVER['PHP_SELF'];
			$ch =@curl_init();
			@curl_setopt($ch,CURLOPT_URL,$address_host."?action=start&time_s=$time&time_e=$max_time&page=$action1");
			@curl_setopt($ch,CURLOPT_SSL_VERIFYPEER,FALSE);
			@curl_setopt($ch,CURLOPT_SSL_VERIFYHOST,2);
			@curl_setopt($ch,CURLOPT_HEADER,1);
			@curl_setopt($ch,CURLOPT_RETURNTRANSFER,0);
			@curl_setopt($ch,CURLOPT_TIMEOUT,10);
			@curl_exec($ch);
		}
		if(time() > $step_time)
		{
			@exit();
			@die();
		}
		@stream_set_timeout($socket,0,1);		
		$socket = @stream_socket_client("tcp://$host:$port",$err,$err2,1,STREAM_CLIENT_ASYNC_CONNECT);
		if ($socket) 
		{
			@stream_set_write_buffer($socket, 0);
			@stream_socket_sendto($socket,$out);
		}
		@fclose($socket);
	}
	$base = dirname(__FILE__)."/";
	$ffp2=fopen("stp.hp","w+");
	fclose($ffp2);
	unlink("stp.hp");
	//unlink($base."stcp.php");
	//cmdexec("killall ping");
	die();

さて今回の DDoS攻撃を行っている攻撃者は、これらの Botnetの構築も自分達で行ったのだろうか? この点について Incapsulaというセキュリティベンダーが自社の Blogで興味深い報告を行っている。彼等の顧客のうちの一つがこの攻撃スクリプトに感染していたため、その活動内容を観測して結果を公開しているのだ。

• Under the Hood of the Cyber Attack on U.S. Banks

それによるとイギリスにある小規模な Webサイトに設置された攻撃スクリプトに対して、PNCや HSBCなどの金融機関への攻撃がトルコにあるC&Cサーバから指示されていたという。攻撃スクリプトは多重に実行されるようになっていて、サーバリソースを最大限まで活用できるようになっていた。また攻撃は 7分間から最大でも1時間と幅はあるものの、一定時間に限って行われており、さらに金融機関とはまるで関係のない Eコマースサイトへの攻撃も間に行われていたという。これらの事実から、この攻撃は有料のレンタル Botnetを利用して行われている、と彼等は結論づけている。攻撃の全てが依存しているかはわからないが、一部で Botnetをレンタルしているというのはおそらく正しいのだろう。

なお今回の攻撃ではサーバ設置型の Botが利用されていることから、クラウド事業者などがデータセンターで持っている広帯域のネットワーク回線が攻撃に利用され、それが攻撃規模が大きくなった要因なのではないか、との見方も多い。しかし攻撃トラフィックの発生元に関するデータが公開されていないので、事実かどうかは定かではない。

誰が攻撃しているのか？

さて次に攻撃者がはたして誰なのかという疑問についてだが、この点に関してもさまざまな意見が出ている。攻撃者自身は自らのことを "Izz ad-Din al-Qassam Cyber Fighters"と名乗っており、攻撃予告や攻撃状況について度々 Pastebinに投稿している。また複数のメディアへのインタビューに応じており、自らその内容を公開している。

これらが実際の攻撃者による回答だとすると、彼等の語っている内容はおよそ次のとおりである。

• イスラム教を侮辱する内容の映画、ビデオが公開されたことへの抗議が攻撃の目的
• 特定の国家や組織による攻撃への関与はなく、他の組織と協力したこともない
• 攻撃は多数のボランティアによって行われているが、参加メンバーは一定ではなく、また特定のリーダーもいない
• YouTubeからビデオが削除されれば直ちに攻撃は中止する
• 攻撃対象や攻撃方法を今後どうするかは状況次第

一方 NYTimesは 2013年1月8日の記事で、米国による経済制裁やサイバー攻撃への報復として、イランが DoS攻撃を実施している、との米政府関係者の話を伝えている。

• Bank Hacking Was the Work of Iranians, Officials Say

またセキュリティ研究者らによる OSINT (Open Source Intelligence)の結果でも、攻撃者グループに関係すると思われるブログへの投稿などから、この攻撃とイランとの関係を示唆するものがある。

• Dancho Danchev's Blog - Mind Streams of Information Security Knowledge: Dissecting 'Operation Ababil' - an OSINT Analysis
• http://www.asherahresearch.org/2012/11/02/op-ababil-preliminary-analysis/

しかし当然ながらイランは攻撃への関与を否定しているし、攻撃者へのインタビューにおいてもイランを含め特定の国家による関与を否定している。また上記の NYTimesの記事ではイランの関与を示す根拠となる情報がなんら開示されていない。真相は不明である。

今後の動き

この記事を執筆している 1/21時点において、Phase2の攻撃はまだ継続しているようだ。最近の攻撃者による投稿では、YouTubeで公開されている複数のビデオの閲覧状況などから攻撃期間を算定する方程式をひねり出していて、その計算によるとあと13ヶ月間は攻撃を継続することになる。はたしてどこまで本気なのかよくわからない。しかし現状では YouTubeによるビデオの削除が行われる見込みは薄く、攻撃がすぐに中止される可能性も低そうだ。

また今のところ攻撃対象は米国の金融機関のみに限定されているが、攻撃者がインタビューでも語っているように、今後の状況次第ではどうなるかわからない。しばらく状況の推移を注視する必要がある。

まとめ

以上、昨年 9月から継続している米金融機関への DDoS攻撃作戦について、その概要をまとめてみた。DoS攻撃の規模が非常に大きく、また攻撃が長期に渡って継続していること、サーバ設置型の Botnetを利用していることなど、今回の攻撃はこれまで過去にあまり見られなかった特徴をもっている。一方で、彼らの主張する通りであるならば、リーダー不在のボランティアコミュニティの協力によって攻撃が行われるなど、Anonymousによる攻撃作戦などとの類似も見られ非常に興味深い。(あるいはそう装っているだけかもしれないが。)

(1/29 追記)
YouTubeで公開されている複数のビデオのうち、最も再生回数の多かった一つが削除された。削除理由はよくわからない。これを受けて攻撃者グループは声明を出し、今回の動きを評価するとともに米銀行への DDoS攻撃を一時中断すると発表した。ただしこれは他にまだ多数残っているビデオを削除するための時間的猶予を与えるためであり、さらなるビデオの削除が行われない場合、攻撃が再開される可能性が高い。

The al-Qassam cyber fighters lauds this positive measure of YouTube and on this basis suspends his operation and plans to give a time to Google and U.S. government to remove the other copies of film as well. During the suspension of Operation Ababil, no attack to U.S. banks would take place by al-Qassam cyber fighters.

(3/6 追記)
攻撃は 1ヶ月余り中断されたが、その間にビデオの削除が行われなかったことから、攻撃者グループは米金融機関への DDoS攻撃を再開するとの声明を出した。

Now at the end of one month time it is seen that other copies of the film yet exist in YouTube so we announce the Phase 3 of Operation Ababil will start this week.

During runnnig Operation Ababil Phase 3, like previous phases, a number of american banks will be hit by denial of service attacks three days a week, on Tuesday, Wednesday and Thursday during working hours.