headless 曰く、

インターネット史上最大規模というDDoS攻撃を受けてオフラインになっていたジャーナリストBrian Krebs氏のWebサイト「Krebs on Security」が25日、DDoS緩和サービスをAkamaiからGoogleのProject Shieldに変更して復活した（Krebs on Securityの記事1、記事2）。

DDoS攻撃はKrebs on SecurityがDDoSサービス「vDos」について報じた直後から始まっており、9月20日には620Gbpsに到達。Akamaiが過去に防いだ最大のDDoS攻撃のトラフィックは363Gbpsであり、今回の攻撃はその2倍近いものだったという。また、363Gbpsの攻撃では乗っ取ったシステムで構築したボットネットからDNSリフレクション攻撃やDNSアンプ攻撃と呼ばれる手法を用いてトラフィックを増幅していたのに対し、今回は非常に多くのIoTデバイスを乗っ取って構築したボットネットから直接攻撃を受けたとみられるとのこと。

DDoS攻撃のトラフィックには逮捕されたvDosの運営者のハンドルネーム「Applej4ck」を含む「freeapplej4ck」という文字列が含まれており、Krebs氏は攻撃がvDosに関連したものとみているようだ。この攻撃をAkamaiは防いでいたが、これ以上攻撃が続くと数百万ドルの損害が出るとしてサイトはオフラインとなった。Krebs氏はAkamaiから無料でサービスの提供を受けていたため、この判断に異論はなく、代替となるDDoS緩和サービスプロバイダーを探すことになる。

しかし、援助を申し出てくれたプロバイダーは攻撃に対抗するのに十分な力がなく、Akamaiと同レベルの保護を提供可能な1社は、最初の2週間のみ無料でサービスを提供するが、その後は年間15万ドル～20万ドルかかると言われたとのこと。これは独立したジャーナリストが支払える金額ではなく、非営利団体の設立やクラウドファンディングでの資金調達も考えたそうだ。

最終的にKrebs氏が利用を決めたProject Shieldは、Googleのインフラを利用して独立ニュースサイトをDDoS攻撃から保護し、言論の自由を守ることを目的にしたサービスだ。レイヤー3/4およびレイヤー7攻撃を含むマルチレイヤーでの防御システムを備え、無制限に無料で利用できる。

Krebs氏はEFFの共同創設者であるJohn Gilmore氏の「インターネットは検閲をダメージとみなし、それを迂回する」という言葉を引用し、現在では「実際には検閲がインターネットを迂回できる」と述べている。かつて権力者のものであった検閲だが、現在のインターネットでは誰もがDDoS攻撃でWebサイトをオフラインに追い込むことが可能となった。Krebs氏はこのような「検閲の民主化」は歓迎できないとも述べている。

秘密の質問と答えのような知識ベースの認証(knowledge-based authentication: KBA)は、以前から認証システムの最弱点とみなされているにもかかわらず、採用しているWebサービスは相変わらず多い。米Yahooのアカウント情報流出のストーリーでは、秘密の質問の答えにどのような内容を入力すべきかについて話題になった。コメントでは「パスワードのようにランダムな文字列を設定する」という選択肢が挙げられているが、InfoWorldの記事でもKBAを採用するWebサービスを利用せざるを得ない場合、質問の答えをパスワードのように扱うことを提案している。

Webサービスでプリセットされている秘密の質問は、秘密といえないものがほとんどだ。元アラスカ州知事サラ・ペイリン氏の電子メールアカウントに侵入して有罪判決を受けたハッカーは、秘密の質問として設定されていた誕生日がWikipedia記事に記載されており、ハッキングといえるものではないと主張したそうだ。また、元米大統領候補のミット・ロムニー氏のアカウントは、攻撃者がロムニー氏の好きな動物を知っていたために乗っ取られたという。

ペイリン氏やロムニー氏のような著名人でなくても、こういった情報をソーシャルメディアで公表している人も多いだろう。記事では質問の答えに本当の答えを使用しないのはもちろんのこと、本当らしく見える嘘の答えも使用してはいけないと主張する。嘘の答えであっても、質問の趣旨にあった物であれば推測が可能となるからだ。KBAで3つの質問と答えが要求されている場合、それぞれ個別に無意味でパスワードっぽい答えを用意すべきとのこと。

記事を執筆したRoger A. Grimes氏はKBAが許可するなら複数の質問に同じ答えを入力しても構わないと考えているが、同じ答えを認めないKBAも25%程度存在するそうだ。なお、複数のWebサイトで答えを共有してはいけない。質問の答えは暗号化されないことが多いようなので、流出時のリスクはパスワードよりも高くなる。また、ありがちなパスワードにみられるような文字列も避けた方がいいと思われる。スラドの皆さんのご意見はいかがだろう。

各種ゼロデイ脆弱性を利用したエクスプロイトの買い取りを行うZERODIUMが、買い取り価格をiOSで3倍、Andoridで2倍にするなど大幅な価格改定を行っている(ZERODIUM — エクスプロイト買い取りプログラム、 Ars Technicaの記事、 V3の記事、 MacRumorsの記事)。

ZERODIUMは昨年、iOS 9のリモート脱獄報奨金プログラムを期間限定で実施し、1チームに100万ドルを支払っているが、通常の買取価格は50万ドルとなっていた。今回の改定により、iOS 10では期間が限定されることなく最高150万ドルが支払われることになる。また、Androidのリモート脱獄でも、Android 7では従来の10万ドルから倍増し、20万ドルとなっている。大幅な買取価格の上昇は、iOS 10とAndroid 7のセキュリティ向上に伴うものだという。

このほか、リモートコード実行+サンドボックス迂回については、Flashで2万ドル増の10万ドル、Microsoft Edge/Internet Explorer/Safariでは3万ドル増えて8万ドルとなるなど、そのほかの脆弱性についても価格改定が行われている。