パスワードを忘れた? アカウント作成
12937602 story
検閲

セキュリティ関連ブログがDDoS攻撃を受けて一時閉鎖、運営主は「検閲の民主化」と批判 50

ストーリー by hylom
DDoSの一般化 部門より
headless 曰く、

インターネット史上最大規模というDDoS攻撃を受けてオフラインになっていたジャーナリストBrian Krebs氏のWebサイト「Krebs on Security」が25日、DDoS緩和サービスをAkamaiからGoogleのProject Shieldに変更して復活した(Krebs on Securityの記事1記事2)。

DDoS攻撃はKrebs on SecurityがDDoSサービス「vDos」について報じた直後から始まっており、9月20日には620Gbpsに到達。Akamaiが過去に防いだ最大のDDoS攻撃のトラフィックは363Gbpsであり、今回の攻撃はその2倍近いものだったという。また、363Gbpsの攻撃では乗っ取ったシステムで構築したボットネットからDNSリフレクション攻撃やDNSアンプ攻撃と呼ばれる手法を用いてトラフィックを増幅していたのに対し、今回は非常に多くのIoTデバイスを乗っ取って構築したボットネットから直接攻撃を受けたとみられるとのこと。

DDoS攻撃のトラフィックには逮捕されたvDosの運営者のハンドルネーム「Applej4ck」を含む「freeapplej4ck」という文字列が含まれており、Krebs氏は攻撃がvDosに関連したものとみているようだ。この攻撃をAkamaiは防いでいたが、これ以上攻撃が続くと数百万ドルの損害が出るとしてサイトはオフラインとなった。Krebs氏はAkamaiから無料でサービスの提供を受けていたため、この判断に異論はなく、代替となるDDoS緩和サービスプロバイダーを探すことになる。

しかし、援助を申し出てくれたプロバイダーは攻撃に対抗するのに十分な力がなく、Akamaiと同レベルの保護を提供可能な1社は、最初の2週間のみ無料でサービスを提供するが、その後は年間15万ドル~20万ドルかかると言われたとのこと。これは独立したジャーナリストが支払える金額ではなく、非営利団体の設立やクラウドファンディングでの資金調達も考えたそうだ。

最終的にKrebs氏が利用を決めたProject Shieldは、Googleのインフラを利用して独立ニュースサイトをDDoS攻撃から保護し、言論の自由を守ることを目的にしたサービスだ。レイヤー3/4およびレイヤー7攻撃を含むマルチレイヤーでの防御システムを備え、無制限に無料で利用できる。

Krebs氏はEFFの共同創設者であるJohn Gilmore氏の「インターネットは検閲をダメージとみなし、それを迂回する」という言葉を引用し、現在では「実際には検閲がインターネットを迂回できる」と述べている。かつて権力者のものであった検閲だが、現在のインターネットでは誰もがDDoS攻撃でWebサイトをオフラインに追い込むことが可能となった。Krebs氏はこのような「検閲の民主化」は歓迎できないとも述べている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by iwakuralain (33086) on 2016年10月01日 7時48分 (#3089500)

    こういう物量で押してくるのはシンプルだからこそ完全に防ぎきるって難しい

    • by Anonymous Coward

      数の暴力というやつですね。まさに暴力。

    • by Anonymous Coward

      経路情報をルーター同士が交換するみたいに、DoS情報を交換して自動的に転送をしぼるようにはできんものなんかなあ。いや研究はしているんだろうけども…

  • by Anonymous Coward on 2016年10月01日 12時51分 (#3089580)

    都合の悪い者をつぶしに言ってるんだから、どっちかというと弾圧ではないかと。

    • by Anonymous Coward

      同意。

      少なくとも日本語においては、権力側(体制側)が、自分を批判する言論を抑制するために行う強制的な内容確認が「検閲」なので、DDosに使うのは違和感ありまくり。

      弾圧も権力側に対して使うので、あえて言えば言論抑圧テロ。

      • by Anonymous Coward
        そんなんどっちでもいいわ
        成功すりゃ革命で失敗すればテロなんだから
  • by Anonymous Coward on 2016年10月01日 7時29分 (#3089494)

    無料サービスだから仕方ないとはいえGoogleにサービスレベルで負けるのか…。

    • by Anonymous Coward

      DDos自体は防いでるんだから負けてるのは資金量でしょ。
      Googleのは本業で構築したシステムを流用して広報で提供しているようなものだから最初から赤字になることは織り込み済みでサービスを提供できるがAkamaiはそうはいかない。

  • by Anonymous Coward on 2016年10月01日 7時50分 (#3089501)

    何台くらいのデバイスを乗っ取ってんだろう、とか
    どんなOSが乗っ取られてんだろう、とか
    どうやって乗っ取ってんだろう、当然一台一台手作業じゃないわな、
    WindowsでもLinux系でも動くウィルス作ってんのかな、とか
    やはりサポートの切れたOSは、サポート中のよりも圧倒的に乗っ取りやすいのか
    (理論的にはそうだろうけど、現実としてはどうか)とか

    一番気になるのは、乗っ取られたデバイスの持ち主は何やってんだろう?ってのが。
    なんとなく「なんかPC遅いなあ・・・」くらいにしか感じないんだろうか?
    1台あたりに担当させる仕事は、わりと少なめなんだろうか?

    • by Anonymous Coward on 2016年10月01日 8時56分 (#3089515)
      親コメント
    • by Anonymous Coward

      ウェブカメラもDDoSに使えるんだとか.
      ウェブカメラなら少々遅くなっても気が付かなさそう.

    • by Anonymous Coward

      同一仕様の機器が多数ある奴が狙い目だろう

      今ならウェブカメラ。将来的にはスマートメータの脆弱性突けば国内だけでも千万以上の兵隊確保できるだろう

    • by Anonymous Coward

      もうDDoSの踏み台にされた人は一部の責任を負わされるようにしたほうがいいよ
      そうしないと個人レベルでのサイバーノーガード戦法が成り立ってしまうから

      少なくとも使用してるソフトで、無償のアップデートが用意されてるとか、メーカーが脆弱性の注意喚起を行っていた場合や
      ウイルス対策を怠りマルウェアが入っていて悪さをした場合は、そのパソコンの使用者もDDoSを助けたやつとして取り締まるべきだと思う

      • by Anonymous Coward on 2016年10月01日 11時56分 (#3089558)

        責任?誰がどうやって取らせるんですかね。

        取り締まるのは誰ですか?

        結局、そういう無責任なヒステリーが国の仕事を増やして官僚機構を灼け太らせているのにいい加減気がつきましょうよ。

        親コメント
        • by Anonymous Coward

          DDoSのアクセス元を記録しといてプロバイダーに照会かければいいだけだろ、何言ってるんだ

          その程度は能力的には今の警察でもできるよ、もちろんハード所有者に責任を負わせるよう法改正は必要だろうけど

          • Re:DDoSでいつも思うこと (スコア:4, おもしろおかしい)

            by 90 (35300) on 2016年10月02日 2時56分 (#3089782) 日記

            2Tbpsの攻撃が24時間続くと21.6PBになる。HDDに記録するとすると、メディア代だけなら65万ドル(6500万円)。意外と安いか。
            ボットネットの1台が500kbpsずつ攻撃していたとすると、400万台のソースが存在することになる。

            インターネットユーザの分布を見ると、上位十か国は中国、インド、米国、ブラジル、日本、ロシア、ナイジェリア、ドイツ、英国、メキシコ。
            この十か国の34%が中国で、7億人。4位のブラジルは7%に満たない程度。でも1.4億人のユーザ数がいる。上位三か国を合わせると15億弱。

            君の任務は、むろん承知すればのことだが、この核兵器保有国と開発途上国のテンプレの寄せ集めの間にDDoS攻撃加担者に関する国際条約を締結
            し、更にその内外にいる15億人の容疑者から400万人の回線保有者を特定し、彼らの所有する機器がボットネット構築に使われていたことを証明し、
            更に更に彼らと直接個別にコンタクトを取って罰金を科し機器をネットワークから切り離し適切に更新することだ。

            当局はいちいち構わないのでそのつもりで。高々24時間の攻撃と考えることなくぜひ管理責任の追及にキャリアをかけて取り組んでいただきたい。

            親コメント
            • by Anonymous Coward

              無知蒙昧な一般人と有能な司令官の素晴らしい構図だ

              でも
              現場で起こっている事実は
              無知蒙昧な司令官と有能な現場職人の地獄絵図

              多重に皮肉が利いていて素敵すぎて濡れますん

          • by Anonymous Coward

            予算的に無理です。アクセス元をいちいち記録するとサーバへの負荷が増大する。

          • by Anonymous Coward


            キミは無職と

          • by Anonymous Coward

            アクセスなんて下手したら何万件もあるのに、それを一々調べるんですね。
            被害者に調べさせるなら、それは罰ゲームでしか無いし、
            警察にやらさせると検察や裁判所も巻き込んで、莫大な業務量で司法が死んでしまいます。

            インターネットに繋がるデバイスがゴマンとあって、その中にはユーザーによるアップデートが行えない物も沢山あるのに、アクセス元を取り締まっても何の問題の解決にもなりません。

      • by Anonymous Coward

        いまWi-Fiに繋がる一番安い機器はTシャツ1枚より安い
        これがLTEになったらどうする

      • by Anonymous Coward

        数百万台の踏み台を一つ一つ調べて回るんですか?

  • by Anonymous Coward on 2016年10月01日 11時10分 (#3089544)

    発信元偽装したパケットを外部に通すようなネットなんて潰れて然るべきだからと
    DNSのAレコード期限を短くして、発信元のネットワークが分かり次第ときどきAレコードをそのネットワークのIPアドレスに切り替えて
    1Tbpsに近いDDoSを跳ね返してやれば、DDoSしにくくなっていくのでは?

    #それかいっそのこと世界中でTCP以外のパケット中継するの止めるか

    • 具体的な攻撃実行パケット発信源は乗っ取られたPCやネット接続機器なので、
      跳ね返されたって攻撃プラン立案者自身は痛くも痒くもない。

      それに大量のパケットを跳ね返すということは、
      通信パケット量を増大させるだけでもあり、
      発信源と同じネットワークの利用者に悪影響が及ぶ可能性があるし。

      --
      --------------------
      /* SHADOWFIRE */
      親コメント
      • by Anonymous Coward

        むしろ邪悪なネットワークの利用者なんて悪影響が及べばいい
        所有していないアドレスが発信元のパケットを外に中継するようなアホな設定しているネットワークは利用者共々滅びよ。
        利用者は嫌なら他のネットワークを利用しろ。

        そうすればアホなネットワーク設定するところが減り、
        フィルタリングが難しい同一ネットワーク内にあるオープンリゾルバなDNSでDNSアンプ攻撃するか、攻撃先と同一ネットワーク内にあるボットで攻撃するか となり威力が下がる。

        という意味で書いた。

      • by Anonymous Coward

        ボットネット運営者は世界中に大量の奴隷を抱えていることが飯の種になっているわけで、
        跳ね返されたことで発信源側で問題となり乗っ取られた機器へのしかるべき措置がとられれば
        彼らの飯の種である奴隷が順次失われていくことになるから無駄ではないかと。

        • by Anonymous Coward

          ボットネットの閉鎖はやってます。潰したのになぜなくならないかといえばまた作るからです。

      • by Anonymous Coward

        今まで被害者側がおとなしくしていたことが、攻撃側をここまでつけあがらせることにつながったんではないか?
        一国の中の話ならまだ少しは法の秩序に期待することもできようが、世界的なDDoSともなればそういったことも実質期待できない。
        ならいっそ皆で報復攻撃しまくってネットワークが使い物にならない状態にまでなればいい。困る人がたくさん出れば、そこでやっと世界的になんとかしようと新しい秩序を作る動きが出ると思う。

        • >世界的になんとかしようと新しい秩序を作る動きが出ると思う

          そんな無意味な理想論で動いて上手くいくわけがない。

          IPV6ですら普及させられずに困っているのに、
          誰が「新しい秩序」とやらを作りだして夢のように一挙に普及させられるのか。

          --
          --------------------
          /* SHADOWFIRE */
          親コメント
          • by Anonymous Coward

            違う違う。理想論の対極で、皆がどうにもならないくらいに困る状態に陥ったらなんとかする以外なくなるってこと。

            • by Anonymous Coward

              おもしろいねw
              自分が攻撃されて困ったけど、他人は助けてくれない。
              だから、他人を攻撃して同じ思いをさせて助けるよう仕向けようってことかw
              で、その他人が別の人を攻撃して、を繰り返して世界中で麻痺させると。
              なんかすごい日本的なアイデアだ。自分が苦労してるんだからあいつも苦労すべき、みたいな。

              そうなると、新しい秩序とやらはネットに国境作ったりするかもね。国ごとにネットワークを閉じて、承認されたホストだけが国境を越えられる。IPアドレス固定を条件にして。IPv6が普及しそうだ!

              • by Anonymous Coward

                そうは言っても、DDos攻撃がもっとカジュアルになってこういった「特別な」人じゃ無くてもぼこぼこ被害に遭うようになったら、加害者を問答無用で死刑にするかもしくは元コメの対処法くらいしか無いような気がする。

        • by Anonymous Coward

          報復だの跳ね返すだの分散型の意味わかってんの?

          • by Anonymous Coward

            ボット「ネット」が物理的な物だと思ってるっぽい。

      • by Anonymous Coward

        攻性防壁を現実的にやろうと思ったら送信元トレースしてミサイルぶちこむ方がいいんだよね
        ネットで完結しない攻性防壁(物理)になっちゃうけど、それなら通信パケットの増大は心配ない

        • by Anonymous Coward

          それこそ核ミサイル打ち込んだが手っ取り早い

          一家に1台一億円の巡航ミサイルなんて割に合わないわ。

    • by Anonymous Coward

      まずは攻撃対象に関する情報を世界中で共有することじゃないかなぁ
      次にエンドユーザーに近いところで攻撃対象を発信元として設定してるパケットを全部ブロックする
      あとは実際のパケット送信元を特定して通告したりして地道に根本対策
      世界規模で連携取れれば結構効果が出ると思うんだけど

  • by Anonymous Coward on 2016年10月01日 12時38分 (#3089574)

    FAQ [google.com]によると、Project Shieldは「ニュース、人権、選挙監視サイト」限定の慈善事業らしいけど、
    Akamaiも無償でサービス提供してたってことは、似たような理由で支援してたってことだよね。

    海外の企業は、話題にならないところで地道なチャリティー活動してて立派やね。

  • by Anonymous Coward on 2016年10月01日 13時15分 (#3089588)

    そりゃあ驚きだ。何が驚きって、当然対策してるものだとばかり思ってたら、まさか何も考えずにせっせと踏み台を世界中にばらまいているだけだったとは。「アホか」としか言いようがない。

    • by Anonymous Coward

      また「IoT」ってワードに乗っかってコメントしちゃったわけね。
      すでに他のコメントなんかにあるように、今回のネタで言われてるのはウェブカメラね。
      最近IoTが話題になるずっと前から存在するやつ。まともにファームウェアのアップデートもないだろうし、そもそもユーザーが設定誤ってる場合が多い。そらやられますわな。

      なので、IoT=最近はやりのスマートなんとか、ってイメージは捨てたほうがいいですよ。最近始まったもんじゃないから。
      おそらく、パソコンやスマホ以外のモノでネットに繋がるものはIoTって呼ばれるようになる。

    • by Anonymous Coward

      ウェブカメラなんてパスワードすら設定していないものが多数あるというのに、どうして当然対策してるものだと思い込んでいたのか。

  • by Anonymous Coward on 2016年10月01日 21時24分 (#3089710)

    大衆化だ。

    • by Anonymous Coward

      暴力的ポピュリズムに近いですね。ポピュリズムというと人気取り政策という面ばかりに目が行きがちですが、
      頭の悪い支持者が反対意見を暴力的に封じ込め、一方反対意見を唱える側には防御手段がない
      (あるいは権力者により防御手段-人権擁護手段など-が奪われている)
      という構図がよくありますので。

      • by Anonymous Coward

        昔紅衛兵、今オール沖縄(実際にトラフィックが占拠されている)。

  • by Anonymous Coward on 2016年10月02日 13時07分 (#3089852)

    きれいごとだけが生き残るわけないだろ。
    ゴキブリもダニもサナダムシも蚊も、みんな大切な仲間です。

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...