ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2013-11-12

市民団体へ行われたDoS攻撃についてまとめてみた。

| 02:04 | 市民団体へ行われたDoS攻撃についてまとめてみた。を含むブックマーク

複数の脱原発等を行う市民団体サイバー攻撃が行われたと朝日新聞が報じました。最近よく見られるパスワードの使いまわしを狙ったリスト型攻撃やHP改ざんとは異なる攻撃であったため、報道情報を元にまとめてみたいと思います。

1.DoS攻撃の特徴

今回行われたDoS攻撃をまとめると次の様な特徴があります。

f:id:Kango:20131113020234p:image:w750

※自動送信プログラムの使用は推測。

(1) メールボムによるDoS攻撃

DoS攻撃には「メールボム」が使われたことが報じられています。これは攻撃対象のメールアドレスに対して一斉にメールを送ることで、攻撃対象の処理能力を溢れさせる・低下させることを通じ攻撃対象のサービスや業務停止を目的とするものです。メールサーバーを個人規模のシステムで運用している場合、今回の様なDoS攻撃を受けた時に性能頼りで捌くことも難しく、影響を受けることも考えらえます。

(2) メール送信にメルマガ登録や問合せフォームを悪用

メールボムをするにはメールを大量に送り付ける必要がありますが、今回攻撃者は直接対象へメールを送信したわけではなく、攻撃対象でもある市民団体Webサイトに設置されているメールマガジン登録や問合せフォームを悪用し、攻撃対象へメールを送信していました。

メールマガジン登録悪用のケースは、攻撃対象のアドレスをメールマガジンや当該団体への入会申込へ攻撃者が勝手に登録し、団体から送信される登録確認メールをDoS攻撃に悪用しています。また、問合せフォーム悪用のケースは、問合せフォームに攻撃者が適当な内容を入力し、虚偽の問合せを行うことで、問合せ内容を通知、または確認するメールをDoS攻撃に悪用するものです。これら悪用に当たり、かなり多くの件数が入力されていることや送信が短時間に集中していること、そして5分〜15分刻みで送信されていたことといった特徴から、自動入力させる類のプログラムか何かを用いて行われたものと思われます。

(3) Tor経由で接続

メールマガジンの登録や問合せフォームの入力等はいずれも攻撃者が当該機能に対してインターネットからアクセスする必要がありますが、今回はそのインターネットからはTor経由でアクセスされていたことが明らかとなっています。そのため、他の手がかりがない限り、攻撃者の特定に至るのは非常に厳しいと考えられます。

(4) 市民団体の情報を悪用

今回は市民団体は被害を受けただけでなく、攻撃の情報の一部にも悪用されていました。例えば問合せフォームには多くの場合連絡先としてメールアドレスを入力することがありますが、そのアドレスには他の脱原発団体のアドレスを入力し、他の市民団体から攻撃が行われているかのように見せかけていました。市民団体同士が攻撃しあっているかのような演出を目的としていた可能性があります。

(5) 攻撃を執拗に継続

思いつきや面白半分で行われた興味本位の攻撃は長く続くことはありませんが、今回は執拗かつ継続的に特定組織に対して攻撃が行われています。朝日新聞報道によれば、9月の攻撃件数の状況は大きく2つの山が存在しており、9月19日に対策が行われたことにより一度ピークを迎えたのを受けて一端は攻撃件数が落ち着くものの、それを回避する手段(別のメールアドレス)で4つの団体に対して再度攻撃が行われたようです。そして3週間程度をはさみ、10月末から11月にかけてまた同じような攻撃が2つの団体に対して行われました。

2.被害を受けた市民団体

朝日新聞は33団体に対して約253万通のメール、NHKは20団体以上に対して少なくとも160万通を超えるメールと被害を受けた市民団体の数やDoS攻撃で送られたメールの件数を報じています。報道で名称が出ていた団体、そしてその被害状況についてまとめたところ次の様になりました。

被害を受けた市民団体の一部(団体名が報じられていたもの)
団体名日付DoS攻撃内容件数
福島原発告訴団9月18日〜30日メールマガジンへ勝手に大量登録約14万通以上
福島原発告訴団・北陸9月18日〜9月30日Blogへ大量の問合せ約149万通
福島原発事故緊急会議9月18日〜不明不明不明
高木仁三郎市民科学基金9月18日〜不明不明不明
さよなら島根原発ネットワーク9月18日〜不明架空の入会申込約3万通
玄海原発プルサーマル裁判の会9月18日〜不明DoS攻撃内容約1万通
原子力資料情報室9月18日〜不明恐らくメールマガジンへ勝手に大量登録不明
STOP!上関原発!9月18日メールマガジンの大量購読登録要求不明
上関原発を建てさせない祝島島民の会9月18日〜不明メールマガジンへ勝手に大量登録約7千通
首都圏反原発連合9月18日〜不明恐らく大量の問合せ不明
女たちの戦争と平和資料館9月18日〜不明恐らく大量の問合せ不明
他含め33団体合計9月18日〜9月30日約210万通
 10月24日〜11月4日約43万通

この内、福島原発告訴団は9月18日〜19日、9月23日〜30日と継続して攻撃を受けていたことが報じられています。

報道で名前が出ている団体は全部で11団体ありましたが、件数まで含めて被害が全て明らかになっている市民団体は5団体のみとなり、攻撃実態については報道情報から詳細までは把握するに至りませんでした。また9月23日以降の4団体の内の3つ、及び10月末から再度攻撃が行われた2団体について具体的にどの団体なのかの情報は出ていません。

この中で「女たちの戦争と平和資料館」だけは反原発脱原発には関連しない市民団体です。またWikipediaに掲載されている脱原発団体の一覧表によれば、日本の脱原発団体は40以上は存在するようですが、例えば「志賀原発廃炉に!訴訟 原告団」は今回の被害は受けておらず、日本国内全ての団体が攻撃の対象となったわけではないようです。

詳細な被害が報告されている事例

詳細な被害状況として、福島原発告訴団・北陸の事例が報告されています。

以下の様な問合せが1分間に約80通のペースで団体へ送られたとのことです。

  • 件名:「a」や「h」とだけ記載
  • 本文:何も記載されていない

3.タイムライン

一連のDoS攻撃が明らかとなった経緯は、朝日新聞が団体から情報提供を受け9月20日に状況を報じ、さらに同社が情報セキュリティ会社へ調査を依頼し、11月10日に調査結果を報じたことがキッカケとなります。調査を行った組織については、朝日新聞の記事に「調査にあたった」と記述があるトレンドマイクロが今回のDoS攻撃の調査を対応したと推測されます。またNHKは被害相談を受けた弁護士(海渡雄一弁護士)も調査をしたと報じています。

  • 2013年10月24日〜11月4日

4.被害を受けた市民団体の対策

被害を受けた市民団体が取った、または取る予定の対策は次のものです。

5.更新履歴

  • 2013/11/13 新規作成

6.引用元報道情報