スイスProton Technologiesは現地時間2015年11月5日、同社の電子メールサービス「ProtonMail」が執拗な分散型サービス拒否攻撃(DDoS)を受け、犯罪集団に身代金を支払ったことを明らかにした。攻撃はかつてないほど大規模で広範囲だったと同社は釈明している。
ProtonMailは、もともとは活動家やジャーナリスト、内部告発者などに向けて構築したサービスで、強固なプライバシー保護を売りにしている。
Proton Technologiesの説明によると、同社は11月3日の深夜、脅迫メールを受け取った。脅迫メールは、過去数週間にわたってスイス国内で発生していた一連のDDoS攻撃の実行犯と見られる犯罪集団から送られてきた。脅迫メール受信後にProtonMailに対してDDoS攻撃が行われ、同サービスは約15分間アクセスできない状態に陥った。
攻撃はいったん停止したが、翌朝午前11時ごろ2回目の攻撃が始まり、数時間のうちに極めて高度になった。その後、チューリッヒやフランクフルトなどに置いている複数のルーターにも攻撃が拡大し、ProtonMailだけでなく他の多数の企業にも影響が及んだ。
攻撃が行われる中、Proton Technologiesは身代金を支払うよう要求され、11月4日午後3時半ごろに身代金の支払いに合意した。本心は支払いに反対だったが、影響を受けた全企業によって下された判断だったとProton Technologiesは説明している。同社はビットコインで身代金を支払ったが、攻撃は止まらなかった。身代金の金額は15ビットコイン(約6000ドル)だったと、米メディア(ZDNet)は伝えている。
現在、攻撃は収まっているが、また攻撃を受ける可能性がある。同社はスイス当局とともに調査を進めており、2回目の攻撃がインフラの欠陥を突いた極めて高度なものであることを確認した。「通常、政府が関与する攻撃に見られる能力」を示しているという。
ProtonMailでは長期的な攻撃対策の導入に着手しているが、高度な攻撃に対抗するソリューションは年間約10万ドルの費用がかかる。同社は、新たなソリューションが財政を圧迫するおそれがあるとして、クラウドファンディングで寄付を募っている。
[発表資料へ]
