政治目的の達成手段としてのサイバー攻撃

脅威情報
2010.9.10

ミニブログ「Twitter」、日記コミュニティ・サービス「LiveJournal」、SNS「Facebook」、動画共有サイト「YouTube」、写真共有サイト「Fotki」。これらのサービスの共通点をご存知でしょうか。その共通点の一つとして、いずれも「cyxymu」というニックネームの親グルジア派ブロガーがアカウントを持っていることがあげられます。さらに、どれも2009年8月6日に分散型サービス妨害（DDoS）攻撃を受けました。今回は実際に行われたシバー攻撃事例を取り上げ、増加しつつある政治的目的を達成するための「サイバー戦争」の可能性について考察したいと思います。

DDoS攻撃の結果、Twitterは数時間にわたってサービスが停止し、Facebookでは通信速度が大幅に低下しました。狙われたソーシャルメディアサイトに送りつけられた攻撃用パケットは、cyxymuの公開していたWebページをフェッチしようとするものだったといわれています。cyxymuは攻撃の数日前、グルジアとロシアの開戦から間もなく1年になることを書いたばかりだったとのことです。 McAfee Labsでは、これらWebベースのDDoS攻撃に加え、メールレピュテーションシステム「TrustedSource」で攻撃対象ブログに言及しているスパムキャンペーンを検出しました。このキャンペーンには二つの目的があると思われます。

まず、攻撃者はスパムの送信元としてcyxymuの「Gmail」用メールアドレスを勝手に使用しました。このためcyxymuのGmailの受信箱は、不在通知や休暇のお知らせといった、スパム受信者のメールクライアントからの自動応答メールで溢れてしまいました。この行為は、今回のDDoS攻撃における真のターゲットだったcyxymuに対し、脅迫メッセージを送るキャンペーンの一環だったと思われます。スパムメッセージには、cyxymuの運営しているWebサイトへのリンクも掲載されていました。その目的は、既にDDoS攻撃を受けている各サイトに対し、より多くのトラフィックを追加送信することだったと考えられます。

上記スクリーンショットは、cyxymuの受信箱に戻ってきたスパムメッセージです。cyxymuは攻撃を受けた後、これをバックアップ用ブログサイトの一つであるabkhaziya.netに掲載しました。

McAfee Labsの調査によると、このスパムの少なくとも一部は、この度のDDoS攻撃に使用されたボットネットの一つが送信していたようです。スパム送信に悪用された感染PCのうち、20％がブラジル、9％がトルコ、8％がインドに存在していました。

スパム送信処理は、大きく2種類に分かれていました。いずれも8月6日木曜日の午前8時（米東部夏時間）前後に始まり、同日の午前11時ころ減り始め、最後のメッセージを検出したのが午後4時でした。一方の処理がランダムなメールアドレスからの送信に見せかけていたのに対し、より規模の大きいもう一方の処理は、cyxymuのアドレスを送信者としていました。