11/12/2016

DynのDDoS攻撃からの教訓

シュナイアー氏のエッセイ

先週の金曜日、誰かがドメイン名プロバイダDynに対して大量の分散型サービス不能(DDoS)攻撃を行い、多数の人気のウェブサイトを停止させた。DDoS攻撃は新しくも洗練されてもいない。攻撃者は大量のトラフィックを送りつけ、被害者のシステムをゆっくりと一杯にし、最終的には機能停止を引き起こす。程度の差はあるし、賢い変種もあるが、基本的には攻撃者と被害者の間でのデータパイプの大きさの戦いである。もし、防御側がデータを受信し処理する大きな能力を持っていれば、防御側は勝つだろう。もし、攻撃者が被害者が処理できるよりも多くのデータを送ることができれば、攻撃側が勝つだろう。

攻撃者は巨大なデータキャノンを作ることができるが、それには費用が掛かる。インターネット上の数百万の無知なコンピュータを利用することが非常に賢い。これはDDoS攻撃の分散部分で、ほとんど数十年の間有効だった。サイバー犯罪はインターネットのあちこちにある無知なコピュータに影響を及ぼし、ボットネットの中にそれらを利用する。彼らは一つの被害者に向けてそのボットネットの標的にする。

現実世界でどのように働いているかを考えてみよう。もし、私が数万のピザの注文をごまかし、一度にあなたの自宅に配送するよう手配したら、私はあなたの通りを渋滞にして、正当な交通を妨害できる。もし、数百万をごまかせれば、その重量であなたの自宅を潰すことができるかも知れない。それがDDoS攻撃で、単純なブルートフォースである。

予想通り、DDoSを行う人間はいくつかの動機を持っている。攻撃は注目される方法として始まり、脅迫の手段あるいは嫌いな人に復讐する手段にすぐに変わった。最近は抗議の手段にもなっている。2013年に、アノニマスというハッカーグループはDDoS攻撃を正当な抗議として認めるようホワイトハウスに嘆願したあるグループは攻撃の脅しだけで十分であることに気付いたため、犯罪者らはゆすり目的でこれらの攻撃を使っている。軍事機関でもサイバー戦争の兵器ツールとしてDDoSについて考えている。2007年のエストニアに対するDDoS攻撃はロシアに責任がありサイバー戦争行為と広く呼ばれている

2週間前のDynに対するDDoS攻撃は新しいものでも何でも無かった。しかし、コンピュータセキュリティにとって、いくつかの重要な傾向を示していた。

これらの攻撃テクニックは広く利用できる。完全なDDoS攻撃能力を持つツールは自由にダウンロード可能である。犯罪者グループは有料でのDDoSサービスを提供している。特定のDynに対して使われた攻撃テクニックは1ヶ月ほど前に初めて使われた。それはMiraiと呼ばれ、ソースコードが4週間前に公開されてから、多数のボットネットがそのコードを組み込んでいる。

Dynの攻撃はおそらく政府が行ったものではない。犯人はBrian Krebsが特定し、FBIが有料のDDoSサービスを行っていた2人のイスラエル人ハッカーを逮捕するのを手助けしたDynに腹を立てていたハッカーのようだ。最近、私は国家によって行われたと見られるインターネットのインフラ会社に対するDDoS攻撃を調査することについて書いた。しかし、正直、私は確かかは分からない。

これは重要である。ソフトウェアは能力を広げている。賢い攻撃者は攻撃方法を見つけ出し、そのソフトウェアを作る。その後、誰もがそれを利用できる。政府と犯罪となる攻撃の間には、あまり多くの違いはない。2014年12月に、セキュリティグループの中でソニーに対する大規模攻撃は、200億ドルの軍事費を持つ国家機関あるいは地下組織にいる複数の人物が行ったものかどうかに関して公開討論会があった。インターネットは我々が違いが分からない唯一の場所である。皆が同じツール、同じテクニック、同じ戦略を使っている。

これらの攻撃は規模が大きくなっている。Dyn DDoS攻撃は1.2Tbps記録した。その前の記録は1ヶ月ほど前のサイバーセキュリティのジャーナリストBrian Krebsに対する攻撃で620Gbpsだった。これはウェブサイトをオフラインにさせるのに必要な規模よりもずっと大きい。1年前は聞いたことがなかった。今は普通に起こっている。

DynやBrian Krebsを攻撃するボットネットは安全ではないウェブカメラ、デジタルビデオレコーダ、ルータなどのモノのインターネット(IoT)デバイスで大規模に構成されていた。これはどちらも新しいものではない。我々は既にDDoSボットネットに使われているインターネットが利用可能な冷蔵庫やテレビを知っている。しかし、更に規模が巨大になっている。2014年のニュースではIoTデバイスは数十万だったが、Dynの攻撃には数百万のデバイスが使われた。アナリストは10倍以上の割合でモノのインターネットの数は増加すると予測している。これらの攻撃は同様に増大すると考えて欲しい。

問題はこれらのIoTデバイスが安全ではなく、その状態が残り続けそうなことだ。インターネットセキュリティの経済はIoTに伝わらない。私が先月書いたKrebsへの攻撃の論評:

買い手も売り手も気にしないため、マーケットはこれを解決することはできない。Brian Krebsに対する攻撃で使われたCCTVカメラやDVRを考えてみてほしい。それらのデバイスの所有者は気にしない。それらのデバイスは安く買取られ、それらはそれでも動いており、Brianの存在を知らない。デバイスの売り手は気にしない: 彼らは新しくてより良いモデルを売っており、新規の買い手は価格と機能だけに注意を払う。危険な状態は、エコノミストが外在性と呼ぶものであるため、マーケットでの解決策はない: それは他の人々に影響する購入の決定の結果である。目に見えない汚染のようなものであると考えてほしい。

公平のためにいうと、これらの攻撃に使われた安全ではない物のいくつかを作っている企業が安全ではないウェブカメラをリコールした。しかし、これは他のどんなことよりスタンドプレー(売名行為)である。私は、もし企業が多くのデバイスを返品するなら驚くだろう。安全ではないと公表されたソフトウェアを持つことは評判にダメージがあまり大きくなく、長続きしないことを我々は既に知っている。現在のところ、マーケットはまだ大部分が、価格や製品化までの時間はセキュリティを犠牲する価値があると考えている。

DDoS防止はパイプがとても大きいネットワークの奥深くで働き、攻撃を特定してブロックする効果は非常に明白である。しかし、バックボーンプロバイダはこれを実行するインセンティブがない。彼らは攻撃が起こっても痛みを感じないし、それを提供してもサービスに請求する方法がない。そして、彼らは攻撃を通過させ、自分自身で身を守ることを被害者に強制する。色々な意味で、それはSpam問題と同じである。バックボーンでは最もよく扱われるが、同様の経済が終点での問題でやめてしまう。

IoT製造メーカにシステムを安全に保つことを強制する規制ができる可能性が低いのと同じように、我々はDDoS攻撃あるいはSpamのどちらも一掃することをバックボーン企業に強制するのを規制する可能性は低い。再び私の論評:

これらが意味するものは、政府が問題解決に介入しない限り、IoTは危険な状態のままだろうということである。市場の失敗になった時、政府が唯一の解決策である。政府はIoT製造者にセキュリティの規制、購入者が気にしなくてもデバイスを安全にすることを強制することを課すことができる。製造者にBrian Krebsのような人々が彼らを訴えることできるような法的責任を貸すことができる。これらは皆、危険な状態に対するコストを上昇させるが、企業にデバイスの安全性にお金を掛けるインセンティブを与える。

それは犯人を特にさせるだけである。これは我々がコンピュータセキュリティの大半で経験する。なぜなら我々が使うハードウェア、ソフトウェア、ネットワークはそれほど安全ではないため、事後セキュリティを提供する業界全体にお金を支払う必要がある。

あなたが買うことができるソリューションはある。多くの企業がDDoS防御サービスを提供している。しかしながら、一般には古くて小規模の攻撃に調整されている。コストは多くのユーザにとって高額ではあるが、彼らがそれらの提供を増やすだろうことは確実に推測できる。リスクを理解してほしい。それが必要なら、限界を理解して緩和策を購入してほしい。攻撃は十分に大きければ、成功することを知ってほしい。そして、攻撃はひっきりなしに、そして大きくなっている。その準備をしてほしい。