世界のセキュリティ関連ブログで最近公開された記事のうち、ちょっと気になる話題を取り上げる。このところ、各国政府などの重要情報の流出でWikiLeaks(ウィキリークス)が注目を集めたが、セキュリティ関連ブログでも、WikiLeaksに関する記事が多く見られた。それぞれ、詳細はリンク先のオリジナル記事を参照されたい。

WikiLeaks支持者の使うDDoS攻撃ツール

 米ペイパルや米マスターカードなどの金融機関は、利用規約に違反したとして内部告発サイト「WikiLeaks」のアカウントを使用停止処分にした。これに対しWikiLeaksの支持グループ「AnonOps(Anonymous)」は報復の分散型サービス妨害(DDoS)攻撃を仕掛け、各社のサービスを混乱させた(関連記事:PayPal、内部告発サイト「WikiLeaks」のアカウントを停止/MasterCardサイトにDoS攻撃、WikiLeaks支持グループの報復か)。英ソフォスのブログ「Hacker toolkits attracting volunteers to defend WikiLeaks」によると、これらの攻撃には、あるオープンソースのツールが悪用されたという。

 攻撃の参加者は、まず「Low Orbit Ion Cannon(LOIC)」というツールをダウンロードし、AnonOpsからの指示に従って攻撃できるよう準備しておく。LOICは、あるIRCサーバーからコマンドを受けると攻撃を開始する。本来Webアプリケーションの負荷試験を行うためのツールなのだが、DDoS攻撃にも悪用可能だ。しかも試験(攻撃)対象の侵入防止システム(IPS)による検出を回避する機能を備えている。LOICにはJava版の「JavaLoic」も存在する。こちらはTwitter経由でコマンドを受け取る。

 なお、DDoS攻撃への加担は多くに国で違法行為とされ、AnonOpsに協力すると裁判沙汰に巻き込まれる危険がある。攻撃元のIPアドレスは被害サイトのログに記録されているし、捜査機関とインターネット接続事業者が協力すれば攻撃者の身元は簡単に割り出される。

WikiLeaks支持の報復攻撃で逮捕者

 事実、DDoS攻撃を実行したWikiLeaks支持者から逮捕者が出ている。オランダの警察が19歳と16歳のオランダ人少年を相次いで拘束した(ソフォスのブログ記事「Second Dutch teenager arrested for WikiLeaks-related DDoS attacks」)。

 DDoS攻撃は、オランダだと最大6年間投獄される可能性のある罪である。ソフォスのブログでは、「WikiLeaksが弾圧を受け、インターネットから締め出されている」と強く感じたとしても、自分のパソコンをDDoS攻撃の道具として差し出すことには慎重を期すべきだとしている。

DDoS攻撃の被害を抑えるには

 一方で、WikiLeaksの出来事をきっかけとして、こうしたDDoS攻撃を受けた場合はどう対応したらよいだろうか、といった解説もある。

 例えば米ESETは、ブログ記事「WWW - Web Weaponization and WikiLeaks」の中で、被害を最小限に抑える方法を紹介している。

 ESETによると、実施が比較的容易な対策が三つあるという。

(1)業務用ITシステムと外部向けWebサーバーを分離しておく。この対策は、DDoS攻撃で業務の遂行に大きな支障を来さないようにする手段として中心的な役割を果たす。

(2)Webサーバーのホスティングサービス業者にDNSの運用も任せる。こうした業者は、DDoS攻撃で押し寄せる大量のトラフィックをさばく能力を備え、対処に必要な経験や通信帯域幅、装置を持っていることが多い。

(3)通信帯域/トラフィック制限用のフロントエンドハードウエアを導入し、重要なサーバーに到達するトラフィック量を絞る。悪質でないトラフィックだけをサーバーに送るプロキシ型サービスも有効だ。

WikiLeaks騒ぎの影響で情報取り扱い規制は強化されるか?

 WikiLeaksに関連して、ちょっと変わった取り組みもある。米ベライゾンビジネスが、ユニークな方法を使って、情報取り扱い規制が強化されるかどうかを予測しようとしている(「Wikileaks/Anonymous Fallout, More Regulation On The Way?」)。WikiLeaksが世界中の政治家を激怒させたことで、IT業界に対する情報取り扱い規制が強化されそうな状況になってきたことを受けたものだ。

 ベライゾンは「Prediction Market」(予測市場)という方法を選んだ。具体的には、Webサイトで「18カ月後に規制強化が実施された場合に100ドル受け取れる仮想的な権利」をいくらで購入するかを、0~100ドルの範囲で入力してもらい、商品先物市場とよく似た原理で価格を決める。規制強化の可能性が高いと思う人ほど100ドルに近い購買価格を入力するので、最終的な価格は多くの考えを平均化した実施確率とみなせるそうだ。