政治的・社会的あるいは宗教的な"正義"を旗印に公然とハッキング活動を展開し、意に沿わない組織にサイバー攻撃を仕掛ける「ハクティビスト」。2011年は、今まで以上に、彼らの活動が世間を騒がせた。また、独立行政法人 情報処理推進機構が発表した「2012年版10大脅威 ~変化・増大する脅威!~」でも、ハクティビストなどの「共通思想集団による攻撃」を3位に挙げている。
そうした中、Impervaは2011年に、ある組織を狙ったハクティビストの25日間にわたる攻撃の一部始終を観測することに成功、2012年にその活動の詳細をまとめたホワイトペーパーを発表し、ハクティビストの攻撃手法の全貌を明らかにした。その内容は、ニューヨーク・タイムズ紙で報道されるなど世界的な注目を集めた。
本誌は、そのImpervaにおいてテクニカル・ディレクターを務める桜井勇亮氏に、ハクティビストの攻撃手法と対策を聞いた。
プロフィール
桜井 勇亮(SAKURAI Yuisuke)
Imperva Japanテクニカル・ディレクターとして、ユーザー企業のニーズに合わせた情報システム堅牢化策を提案している。また、さまざまな現場経験を踏まえ、機密情報保護をはじめ、国内ユーザーに対し、新たな局面を迎えているデータ・セキュリティに関する知識向上を後押ししている。7月5日(木)に開催される『企業攻撃の"今"と近未来の展望をまとめて解説! 2012年度版 最新脅威対策講座』にて講演予定。
"正義"を旗印にしたハクティビスト攻撃の脅威
ハクティビストによるサイバー攻撃について、Imperva Japanのテクニカル・ディレクター、桜井勇亮氏は、「従来のハッキング活動のように、何らかの利益を得るために秘密裏に攻撃を行うのではなく、自らの思想や信条に沿わない組織をターゲットに、一般の参加者を巻き込んで公然かつ組織的に攻撃を仕掛けてくる。攻撃はきわめて計画的で、周到な準備を行ったうえで、洗練された手順で行われる。しかも、規模の大小に関係なくあらゆる組織がターゲットになりうる」と、その危険性を指摘する。
桜井氏によると、ハクティビスト攻撃は、活動の目的とターゲットをYouTubeなどのメディア・サイトを使って事前に大々的にアピールすることから始まり、実際の攻撃は主に2つのグループによって実施されるという。1つは、高度なハッキング技術と経験を持った少人数の専門家グループ。もう1つは前者の活動の趣旨に賛同し、だれでも簡単に使えるように作られたツールを活用して、主にDDoS攻撃(Distributed Denial of Service attack)を仕掛ける一般ユーザーからなる大規模な非専門家グループである。
専門家グループは、ソーシャル・ネットワークを活用して、攻撃の正当性を宣伝・アピールし、攻撃に必要な情報やツールを配布・共有しながら、非専門家グループへの一般からの参加者を増やしていく。その規模は数百人、場合によっては数千人に達する場合もあるという。
ハクティビストの攻撃はこうして行われた
Impervaがホワイトペーパーで全貌を明らかにしたハクティビスト攻撃の事例は、「Anonymous(アノニマス)」というハクティビスト・グループがターゲットとする組織の特定のイベントを妨害するために行ったもの。攻撃の期限はイベントが開催される日までであり、実際に攻撃が行われた期間は25日間だった。
最初の1日目から18日目は、宣伝と勧誘の期間である。まずYouTubeにプロモーション動画を掲載、攻撃のターゲットや目的を明らかにし、その正当性をアピールした。次に、FacebookやTwitterといったソーシャル・メディアを使って、一般からの参加者のリクルーティングを行うとともに、攻撃の計画やターゲットに関する情報、攻撃に使用するツールに関する情報の共有を行った。
19日目から22日目は、偵察行動によってサイトの脆弱性を見つけ出したうえで、実際にSQL InjectionやRemote File Injectionなどの多彩なハッキング技術を駆使して、主にアプリケーションを攻撃するステージとなる。ここで、情報の詐取に成功し、組織に膨大な損害を与えることができれば、目的を達成したことになり、活動も終了となるが、この事例では成功しなかったため、次の攻撃ステージに入ることになった。
最後の24日目と25日目の2日間は、非専門家グループの数百人が一斉にDDoS攻撃に参加してターゲットのサービス停止を目指すステージとなる。この期間の外部アクセス数はピーク時で50万~60万に上ったが、攻撃対象のイベント終了に伴い、攻撃も終息した。このステージでは、ソフトウェアをダウンロードする必要がなく、スマートフォンからも含めて、サイトにアクセスするだけで攻撃に参加できるJavaScriptベースの新たなタイプのDoS攻撃用のツールも利用されたことがわかっている。
ハクティビスト攻撃にいかに向き合うべきか
ハクティビスト攻撃が従来のハッキング攻撃と決定的に異なるのは、攻撃の初期段階から活動を補足することが可能なことだ。そのため、日頃からインターネット上の情報に目を配り、自分の組織が狙われていないかどうかを注意深くチェックしておくことで、攻撃前に対策を打つことできる。
ハクティビズムという新しいタイプの攻撃であっても、使われているハッキング技術そのものは、従来のものと変わらない。ただし、ハクティビストの活動で、組織的かつ計画的に行われるDDoS攻撃の傾向をみると、特に最近は、アプリケーション・レイヤを狙って少ない参加者で効率的に攻撃するケースが増えている。桜井氏は、「アプリケーションをターゲットとする攻撃に十分に対応できるように注意を払う必要がある」と強調している。
ハクティビスト攻撃に代表される新しいタイプのサイバー攻撃に企業はどう立ち向かうべきか。本誌では来る7月5日に『企業攻撃の"今"と近未来の展望をまとめて解説! 2012年度版 最新脅威対策講座』を開催する。桜井氏は、そこで『顕在化する「ハクティビスト(Hacktivist)」攻撃――実態と対処法』のテーマで講演を行う予定だ。
講演では、ハクティビストによるサイバー攻撃の実態を事例を基に詳細に紹介し、その対応策を明らかにする予定だ。講演の後半部分では実際の攻撃に使用されるツールを使った実験デモも行われることになっており、攻撃の現実を体験することができる。ハクティビスト攻撃への対策を行ううえで、大いに参考になるはずだ。