7月に東京都内で開催されたマイナビニュースITサミット Webセキュリティ『2012年度版 最新脅威対策講座』では、Imperva Japanのテクニカル・ディレクター、桜井勇亮氏が、「顕在化する『ハクティビスト』攻撃 -実態と対処法-」と題して講演。ハクティビスト集団「アノニマス」が実際に行った攻撃の事例をもとに、その手口や手法を明らかにするとともに、有効な対応策をアドバイスした。
あらゆる規模の組織がターゲットに
Imperva Japan テクニカル・ディレクターの桜井勇亮氏 |
ガイ・フォークスの仮面をトレードマークに挑発的なサイバー攻撃を繰り広げるハクティビスト集団「Anonymous(アノニマス)」。国内においても先日、「違法ダウンロードの罰則化を盛り込んだ改正著作権法」が成立したことへの抗議を大義名分に、政府やレコード協会などへのサイバー攻撃を繰り広げ、マスコミに大きく取り上げられた。
この種の攻撃は以前まで、その主体が明らかになっておらず、人知を超えた架空のハッキング集団とか、特定組織の敵対勢力による隠れ蓑とか、営利を目的とする集団とかといった誤解もあり、「過大もしくは過小な評価がなされていた」と桜井氏は指摘する。
その実態が明らかになるにしたがって、彼らはハクティビストと呼ばれるようになった。ハクティビストとは、ハッカーとアクティビスト(運動家)を組み合わせた造語である。同氏は、その実態について次のように説明している。
「政治的・社会的あるいは宗教的な"正義"を旗印に公然とハッキング活動を展開し、意に沿わない組織にサイバー攻撃を仕掛ける集団を指す。営利は第一義の目的としておらず、規模の大小にかかわらず、あらゆる組織がターゲットになる」
ハクティビストによる攻撃が従来のサイバー攻撃と異なるのは、自らの正体を明らかにせず、秘密裏に攻撃を行うのではなく、YouTubeやTwitterなど公のソーシャル・メディアを活用して、活動の目的やターゲットを宣言したうえで、公然と攻撃を行うことである。
アノニマスによる攻撃の全貌が明らかに
ハクティビストによる攻撃はどのように行われるのか。
Impervaは2011年、ハクティビスト集団のアノニマスが、ある組織をターゲットにして25日間にわたって繰り広げた攻撃の一部始終を観測することに成功。2012年にその活動の詳細をまとめたホワイトペーパーを発表し、アノニマスによる攻撃の手口や手法の全貌を明らかにした。
この攻撃は、ある組織が開催する特定のイベントを妨害する目的で行われたもので、攻撃に参加した構成員は大きく2つのグループに分けることができるという。
1つは、高度なハッキング技術と経験を持つ熟練したハッカーの集まりで、10~15人程度のグループ。もう1つは、熟練したハッカーの指示を受け、特定のツールなどを利用して、DDoS(分散型サービス不能)攻撃に参加する非専門家の集まりで、攻撃の目的に賛同して参加することから、場合によっては数千人に及ぶこともある大規模なグループである。
実際の攻撃は、主に3つのステージで行われた。1~18日目の第1ステージは、宣伝および勧誘の期間、19~22日目の第2ステージは、熟練したハッカーを中心に調査攻撃およびアプリケーション攻撃を実行する期間、24~25日目の第3ステージは、非専門家が参加して大規模なDDoS攻撃を実行する期間である。第2ステージでの攻撃が成功し、ターゲットにダメージを与えることができれば、その時点で攻撃は終了するが、今回はその攻撃が失敗し、第3ステージに入った。
今回の攻撃サイクル。攻撃は大きく3ステージにわたる (出典 : Imperva's Hacker Intelligence Summary Report - The Anatomy of an Anonymous Attack) |
以降、アノニマスによる具体的な攻撃の手口と手法を見ていくことにしよう。
第1ステージ : 宣伝・勧誘
まず、YouTubeなどの動画サイトを使って攻撃の目的やターゲットなどを宣言する。動画にはガイ・フォークスの仮面をかぶった人物が登場し、扇動的な演説で宣伝を繰り広げる。次に、FacebookやTwitterなどのソーシャル・メディアを活用して参加者を勧誘し、攻撃の方法や時期などの情報が共有される。サイバー上の宣伝以外に、地下鉄構内にポスターを貼り出すといった宣伝活動が行われることもある。
第2ステージ : 調査・アプリケーション攻撃
このステージでは、2種類のツールが使われた。1つは、アプリケーション上の脆弱性を高速に検索するための脆弱性スキャナーである。今回、ログのヘッダ情報から使用が明らかになったツールは、商用の「Acunetix」とオープンソースの「Nikto」である。Acunetixでもライセンス当たり1,000ドル程度の価格で購入でき、低コストで簡単にアプリケーションの脆弱性を調査できることがわかる。
もう1つ検出されたのは、実際にアプリケーションの脆弱性を活用して情報を抜き取る自動SQLインジェクション・ツールの一種、「Havij(ハビジェイ)」である。桜井氏は、「攻撃手法そのものは、決して新しいものではないため、アプリケーションを防御できるセキュリティ対策を施すことによって、十分に対応することができる」とアドバイスしている。
第3ステージ : DDoS攻撃
今回ターゲットにされた組織には、十分なセキュリティ対策が施されており、第2ステージの攻撃は失敗に終わった。そのため、多数の非専門家がDDoS攻撃に参加する第3ステージに入った。
ここでは、DDoS専用ツールの「LOIC(Low-Orbit Ion Canon)」が使われた。このツールは、モバイル・デバイス対応版(JavaScript版)も提供されており、非専門家でも容易に参加できる。
LOICは、秒間200リクエスト以上の送信が可能で、多くの参加者を組織することで、大規模なDDoS攻撃を仕掛けることができる。今回の事例では、24日目と25日目の外部アクセス数が、ピーク時でそれぞれ50万、60万トランザクション/秒に迫るトラフィック量を観測している。ちなみに、同組織の平均トラフィック量は、およそ1万トランザクション/秒である。
最近のDDoS攻撃の傾向を見ると、検索機能などアプリケーション・レイヤを狙って少ない参加者で効率的にDDoS攻撃を行うケースが増えている。また、LOICのダウンロード数を見ると、2011年全体で38万1976回だったのに対して、2012年は3月19日までにすでに31万8340回に達している。
桜井氏は、このように高度化するアプリケーション・レイヤのDDoS攻撃に対して、「SSLを解析し、HTTPおよびアプリケーションのビジネス・ロジックを理解することで、防御することができる」と強調した。
一連の攻撃から守りきったSecureSphere WAF
今回ターゲットにされた組織が一連の攻撃を防御できたのは、Impervaの提供するWeb Application Firewall「SecureSphere WAF」を導入していたことが大きい。
同組織では、従来型のネットワーク・ファイアウォールや侵入検知システム(IDS)、ウイルス対策ソフトだけではなく、レピュテーションに基づいたSecureSphere Webアプリケーション・ファイアウォールも具備していた。これにより、第2ステージのアプリケーションの脆弱性を狙った攻撃を防御できただけでなく、第3ステージのDDoS攻撃も最小限に抑えることができたのだという。
その詳細を紹介するべく、桜井氏は講演の最後にデモを披露。GUIによる設定だけでSQLインジェクション攻撃をブロックしたり、レピュテーション・サービスによってDDoS攻撃を効率的に防御したり、といった様子が示され、参加者の関心を惹いた。