9/22/2016

DDOS攻撃者 - 誰が何のため?

APNICの主任科学者ジェフ・ヒューストンのエッセイ。DDOS攻撃はネットワークを強くしている?

ブルース・シュナイアーのブログの最新投稿「誰かがインターネットを停止させる方法を調べている」は、DDOS攻撃のインシデントが増えていることを伝えた。また、彼はこれらの攻撃は数と激しさの両方で増加していると言っている。同じ観測結果が2015年の第二四半期にVerisignのDDOS傾向報告書で示されている。そして、DDOS攻撃は2016年の第二四半期にはより洗練され、長く攻撃が続くようになったと伝えている。Verisignの報告書は、100Gbpsのオーダーもしくはそれ以上の持続的攻撃が多くあるものの、平均の攻撃サイズが17Gbpsであることに言及している。その数は1年前と比較して75%以上増えている。レポートから引用すると:「Verisignの解析は、攻撃は米国内から発せられた攻撃トラフィックの半数で世界中から3万以上の分散されたボットネットから行われたことを表している。」Akamaiの2016年第二四半期のThe State of the Internet報告書はほとんど同じ状況を書いている: 彼らは2015年の同じ期間でNTPのリフレクション攻撃や関連するUDPフラッド攻撃の増加とともにDDOS攻撃が129%増加したことを観測した。

これらの報告書を読んだ時に私が持った明らかな疑問は、誰がこれらの攻撃の背後にいて、なぜそれを行うのか?である。

インターネットでの悪意と敵意は明白に進化してきた。私が思い起こす最初の事件は1988年11月のモリスワームである。これは多くの生物ウイルスと同じような方法で動作する自己複製ソフトウェアだった。ホストが感染すると、そのホストは自身のコードを複製して他のホストに感染させようとした。作者のロバート・モリスは見たところ好奇心旺盛な大学院生だった。これはおそらく「大胆なハッカー (heroic hacker)」タイプの最初の公なインターネットでの攻撃例だったと思う。一見したところ、旗を立てるあるいは他の発見タイプ以外に明確な下心を持たない無意味なエクスプロイトという特徴を示している。「私はここにいる (I was here)」という公の宣言がハッカーのエクスプロイトの多くの主目的である動機のように思われた。

しかし、この状況はそれほど長くは続かなかった。新しい攻撃を発見するという仕事は相当の熟練を要する骨の折れる仕事だったが、これまでに発見された脆弱性の媒介する度合いは非常に小さいことがすぐに分かった。脆弱性は修正されないままであれば、攻撃は単純に繰り返され、この働きの大部分はすぐにスクリプトの中にパッケージ化された。これは、システム上でどのように脆弱性がエクスプロイトするかの正確で詳しい知識がなくても、これらの攻撃スクリプトを実行する、いわゆる'スクリプト・キディ'に代表される攻撃が新しい波をもたらした。異論はあるが、今にして思えばスクリプト・キディの動機はまだ主に旗を立てる(flag planting)ことだったと思われる。

この嘆かわしい話の次の段階は、お金の導入だった。そして、予想通りお金の流れはその後すぐに犯罪が起こった。スクリプトの作者は攻撃用スクリプトを販売できることにすぐ気付き、趣味が職業に置き換わった。才能のある攻撃者は攻撃の脅威を金儲けの機会に転換できることを見つけた: 小さい攻撃から始め、被害者はお金を払わない限り、より大きなそして長期の攻撃があると脅した。

攻撃活動の犯罪的構成要素は今日のインターネットに生き残り続けているのは疑いの余地はない。しかし、犯罪活動でこれらの大規模な攻撃の背後にある専門知識や能力のレベルを調和させるのはますます難しくなっている。公的情報源から直接裏付ける証拠はろくにないが、今ではいわゆる国家関係者が新規参入者で、これらの高度に洗練された攻撃の背後にいるというのが一般的な認識である。例えば、公の情報はこの話題を制限しているが、スタクスネットというコンピュータウィルスはアメリカとイスラエルが共同開発したという強い疑惑がある。

疑惑の矛先が国家関係者を指す場合、攻撃者を外国人あるいはよそ者に向けたくなる。西側では、西側に悪意のある意図を抱いている筈とするはっきりとしない中国あるいはロシアの諜報機関に関連した活動疑惑という結果となる。同様に、崩壊したあるいはテロを支援していると疑われる多数の国家に疑いの矛先を向けることはテロに対する不安の時代には容易である。しかし、あなたが国家関係者だとして、これらの攻撃を本当に仕掛けることは割りが合うだろうか? 確かに、短期の混乱を引き起こすかもしれないが、攻撃者がまさに国家なら、何の戦略的目的がそのような行動によって実行されるのだろうか?

ブルース・シュナイアーは、これらの攻撃は学習効果(learning exercise)を意味する可能性があるという意見を言った:「これらのプローブのサイズや規模、そして特に持続性は国家主体を示している。サイバー戦争の場合、その武器を測定しようとする国家のサイバー軍のように感じる。かつてソビエト連邦に高高度航空機を飛ばし、防空システムを推し量り、それらの能力を解読するためにアメリカが行った冷戦時代の作戦を思い起こさせる。」

しかし、そのような攻撃は攻撃者にとって自己矛盾的な傾向があると私には思える。どちらかといえば壊れたものを修正するのが一般的な人間の反応である。玄関のドアが壊れていたら、ドアを単に修理するだけではなく、すぐに壊れないようにより強いドアに置き換えようとする強い動機を持つ。オンラインサービスのインフラが攻撃を受けると、攻撃が終わった後に、被害者はより回復力(resilient)のあるサービスインフラに投資するだろう。これらの攻撃が結果として実際に成功していることが、一般的なサービスインフラを防御する追加の投資を行う動機付けを与えている。そして、これらの攻撃の目的が防御能力のレベルを調査することなら、その結果は被害者は防御能力をさらに高めることに投資する強い欲求を持つことになり、潜在的な攻撃者の一部で望ましい結果を得るのが難しくなる。

そのような観点から、国のサイバーインフラで脆弱性のポテンシャル・ポイントを暴くための学習効果よりも、これらの敵対的なプローブ攻撃の少し異なる動機を示す別の説明がある。いくつかの国のサイバーセキュリティ組織から来る多くの懸念事項は堅牢なサービスインフラへの投資不足であることに疑問の余地がない。そして、勧告が素晴らしくても、我々人類は理論的な表現で我々に示されたリスクには極めて貧弱な評価者になりがちである。サービスインフラが攻撃される危険性があると警告する人々は簡単に無視されてしまう。攻撃者によるこれらの脆弱性を実際に示すことが特に被害者にとって非常に異なる結果を生む! もし、我々が関係者に多くの取り組み(防御インフラへの時間とリソース)に投資するのを決めて欲しいなら、真の攻撃条件のもとに強固なストレステストを行うことはその結果を達成するための最善策になる!

私自身を含む我々のほとんどは、この攻撃を誰が行なっているか、なぜかは全くわからない。そして、知っているかもしれない人々は全く話さない。そして、このことすべて単なる憶測に過ぎない。しかし、それほど抽象的ではないのはこれらの攻撃の結果は全体的に悪くはないという見解である。我々はこの頃は敵対する環境でサービスを運用することについて考える必要があることに実際に気付いているし、いわばサービスのデプロイは今日の攻撃の形態に回復力がある。そして、それがこれらの攻撃の一つの結果なら、誰が攻撃者でもあるいは動機が何であろうと、こういう結果はポジティブな結果として見ることができる。私は決してこれらの攻撃を大目に見ているわけではないが、これらの攻撃の結果の一部は全体的に悪くないように見える。もし、国家関係者がこれらの攻撃の背後にいるなら、全てがそうだとは限らない。ブルース・シュナイアーが疑問に思うのは、これが防御能力をプローブすることを目的とした敵対行動かということである。しかし、我々には全く分からないが、別の推測はこれらの攻撃の一部は我々自身の国の中からのフレンドリー・ファイア(friendly fire)を表しており、我々がオンラインサービスインフラに対し重要な防御抑止力に十分投資を行うことを目的としている。

まさにこの投資をすることを促すものに関係なく、我々はより回復力があるインターネットに投資し、サービスインフラの運用は多くの頻度の高い攻撃ベクトルを払いのける能力を持つことを目的としている。現在のブルートフォース型のDDOS攻撃に抵抗するよう設計されている高い回復力があるコンテンツ配信サービスを提供する実行可能なビジネスチャンスがある。そして、それらのビジネスには提供する価値を評価する顧客がいる。ボットネットを作るためにエクスプロイトされるオープンDNSリゾルバ、NTPエージェントや他の要素全てを我々は一掃することはできないだろう。 敵対的な方法で動作させることが強制可能である忘れられたネット接続デバイスを除いて、全ての使われていないものを大掃除することは一見我々の能力をはるかに超える仕事である。しかし、必ずしもインターネットが終わるわけではない。結果として起こる放って置かれている遺物を利用した攻撃をかわすことができる方法で我々はサービスをうまく処理できる。熱心に攻撃する時でさえ、我々はサービスを提供する方法を理解している。そして、近頃は多くのサービスプロバイダが インターネット上で堅牢なサービスを提供するコストの一部としてそのような手段に投資する営利利益を見ている。

そして、おそらく我々が万事バランスをとれたら、それが我々みんなにとってな究極の有益な結果である!