今年6月、財務省のWebサイトが改竄され、裁判所のWebサイトがアクセスできなくなるなどのサイバー攻撃が国内で発生した。「Operation Japan」と呼ばれる一連の攻撃は、アノニマスの手による国内初の大規模攻撃事例とあって、新聞各紙を賑わせた。

そうした背景から、この事件については、IT関係者の多くが概要をご存知なのではないだろうか。しかし、その詳細について――すなわち、どのようなツールが使われ、具体的にどういった攻撃が行われたかについては、把握している方が限られるはずだ。

そこで本誌は、Operation Japanの内容を検証した、NSFOCUSジャパン 事業統括ダイレクターの椋野慎一氏に、一連の攻撃について伺ったので、その模様を簡単にお伝えしよう。

プロフィール

椋野 慎一(MUKUNO Shinichi)


NSFOCUSジャパン 事業統括ダイレクター。

1996年関西セルラー電話(現KDDI)に入社し、cdmaOne立ち上げに従事。その後地域ISP、SIerを経て2004年インターネット総合研究所に入社。グループ会社をいくつか転籍しながら、WiMAX/無線システム/事業企画/コンサルテーションなどの業務に携わる。

2008年元IRIのグループ会社であったブロードバンドセキュリティに移り、本格的にネットワークセキュリティに従事。2010年より現職のNSFOCUSジャパンにて事業統括を行う。

10月18日(木)に開催される『"加害企業"にならないためのWEBセキュリティセミナー』において、DDoS攻撃をテーマにした講演を行う予定。

Operation Japanで使われたDDoS攻撃ツール「HOIC」の特徴

「Operation Japanでは、財務省 国有財産情報公開システムと、国土交通省 関東地方整備局 霞ヶ浦事務所Webサイトが改竄され、裁判所Webサイト、自民党Webサイト、民主党Webサイト、日本音楽著作権協会(JASRAC)Webサイト、日本経済団体連合会(経団連)Webサイトがアクセス不可の状態に陥れられました」

椋野氏は取材の冒頭、このように説明し、Operation Japanによる被害を振り返った。

これのうち、5つのWebサイトをアクセス不可にするうえでは、「DDoS(Distributed Denial of Service)攻撃」と呼ばれる手法が使われた。これは、目的のWebサイトに対して複数のマシンから大量の一斉アクセスを行い、サーバあるいはネットワークの処理能力を上回る負荷を発生させるという攻撃である。JavaScriptにより大量アクセスが実行されるようなWebサイトを作成し、そこへのリンクを一般ユーザーに踏ませることで攻撃の規模を拡大させるといった手段がとられることもあり、防御が難しい脅威として認識されている。

椋野氏によると、今回のOperation Japanでは、そのDDoS攻撃において「HOIC(High Orbit Ion Canon)」というツールが使われたという。HOICは、DDoS攻撃ツールとして以前から著名な「LOIC(Low Orbit Ion Cannon)」の進化版として認識されているソフトウェアだ。

以前から使われているLOICでは、URLやIPアドレスを指定して実行するため、攻撃先Webサイトは1つに限られるという特性があった。それに対し、HOICでは簡単なスクリプトを書き込めるようになっており、「例えば、複数のWebサイトを5分おきに順番に攻撃するといったことも簡単に実行することが可能」(椋野氏)だ。ボットネットでの拡散も容易に行え、「言い方は悪いかもしれないが、効率的にDDoS攻撃が行える」(椋野氏)という。

HOICは、Web上で公開されているソフトウェアで、だれでも手軽に入手できる。したがって、悪意ある攻撃者にいつ利用されてもおかしくはない。

「手軽に入手できるだけに、セキュリティベンダーとしては、その挙動や特性を把握しておかなければなりません。NSFOCUSでは、同ツールを逆コンパイルして、プログラムを解析。動作の内容と併せて、有効な対策を洗い出しています」

では、HOICによる攻撃を防御するには、どうすればよいのか。その詳細は、10月18日(木)に開催される『"加害企業"にならないためのWEBセキュリティセミナー』で、椋野氏の口から明かされる予定だ。

*  *  *

取材の中で椋野氏は、「Operation Japanは、サイバー攻撃のほんの一例にすぎない」とも語っている。国内初のアノニマスによる本格的な攻撃であったために、たまたま大きな話題になったが、官公庁や企業のWebサイトに対する攻撃は日常的に行われているのだという。

10月18日(木)のセミナーでは、そういった攻撃に対する安価なソリューションも紹介する予定である。日頃勉強不足の方でも理解できるよう、Webサイト防御の基本から解説されるので、システム管理に関わる方々はぜひ足を運んでほしい。