いさぼうネット
賛助会員一覧
こんにちはゲストさん

登録情報変更(パスワード再発行)

  • rss配信いさぼうネット更新情報はこちら
 シリーズコラム 「よろずIT・ネットワーク情報」 
【第29回】 東京オリンピックが近づいてきた今、サイバーアタックが急増している
 
 日常的にWebサーバのセキュリティ監視業務を行っていて最近感じることは、'SYNフラッド攻撃'と呼ばれるWebサーバ等をダウンさせる為の大規模なネット攻撃(サイバーアタック)が急増しているということです。
 この傾向は、私の管理する数十台のWebサーバ上では昨年の後半あたりから始まっていて、その時点では攻撃元もせいぜい3箇所程度であまり気にも留めていなかったのですが、先月から今月にかけては1回の攻撃で攻撃元が同時に10箇所以上という場合も珍しくなくなってきました。
 
29-01


【1】SYNフラッド攻撃(SYN flood Attack)とは

■ 通常通信の場合
 インターネット上ではTCP/IPというプロトコル(通信規約)で通信を行っていますが、その中のTCPという通信方式では通信確立の為、まず最初にクライアント(PC等)からサーバに'今から接続していいですか’という意味の'SYNパケット'を最初送ります。

 その'SYNパケット'に対して、サーバは'接続してもいいよ'という意味の'SYN/ACKパケット'を送り返します。

 通常ならば、クライアント側はこの'SYN/ACKパケット'を受信したあとにサーバに対して'わかりました。では接続を確立します。'という意味で'ACKパケット'を送ります。
 この3段階のパケットのやり取りで通信接続確立がなされます。

■ SYNフラッド攻撃の場合
 多くの場合、SYNフラッド攻撃の攻撃者はクライアントの発信元のIPアドレスを査証しています。サーバ側は攻撃側のクライアントから'SYNパケット'を受信すると'SYN/ACKパケット'を送り返しますが、その送り返すアドレス自体が詐称されたアドレスなので、サーバ側へはいつまで待ってもクライアントから'ACKパケット'は送り返されてきません。
 例えるなら、郵便で差出元にでたらめな住所と名前を書いて特定の人に送りつけるようなものです。手紙を貰った人は返信しても送信者には届きません。
 この場合、サーバはクライアントからの'ACKパケット'を受信する為、ある一定の時間待機します。攻撃側はこの種のアドレスを詐称した'SYNパケット'を複数のクライアントから短時間に機関銃の様にサーバに送信しますから、サーバ側は多数の'ACKパケット'待ちプロセスがたまりCPU付加とメモリ付加が増大し速度ダウンやサービス停止にまで追い込まれます。

【2】 なぜ今サイバーアタックが増えているのか?

 長年ネットワーク管理の仕事をやってきましたが、今回のアタックの急増は数年ぶりのような気がします。もちろんネットからサーバに侵入しようとする外部からのアクセスは24時間ひっきりなしにあるのですが、今回の様に多くのサイトから同時にアタックされ、かつサーバーのダウンやネットワークの飽和を目的とした大規模攻撃は数年ぶりに体験しました。
 私の記憶では、民主党政権の後半に尖閣諸島の国有化で日中関係がギクシャクした2012年後半頃に、発信元が中国に割り当てられたIPアドレスから、'ddos(ディードス)攻撃'や'UDPボム攻撃'と呼ばれるネットワークを麻痺させたりサーバをダウンさせたりする攻撃を頻繁に受け、大変苦労して防御した記憶があります。その当時は中国側も 、自分のIPアドレスが知られることをあまり気にせずに攻撃してきたので、その発信元のIPアドレスを調べてみると、かの国の超一流大学である清華大学であったりして、「あの国は国立の一流大学にサイバーアタックをやらせているのか・・・」と少々驚いた記憶があります。

 現在では、かの国もサイバー攻撃の発信元を隠ぺいする為に世界各地(主として東欧や開発途上国)に攻撃用サーバを設置したり、ウイルスに感染したサーバ等で攻撃を行うようにし、発信元を隠ぺいする様になっているようです。

 そんなことで、私の今までのネットワーク管理者としての経験から感じることですが、どうやら前述のような大規模なサイバーアタックは国際情勢や大規模な国際的イベント等とどうも関係があるような気がしてならないのです。

【3】 ピョンチャンオリンピックでも開会式の一時間前から異変が起こり、50台のサーバがダウンしていた。

 つい1週間前の6月8日のNHKニュースの伝える内容によると、去年2月9日午前7時頃、お隣の韓国ピョンチャン冬季オリンピックの開会式の1時間前から次々と無線LANシステムや多数のコンピュータシステムに障害が同時多発的に起き始め、開会式が終わるころには50台のサーバおよび大会にかかわる52のサービスが影響を受けたそうです。
 このままでは大会そのものに影響が出かねないということで、翌日午前0時にインターネットを遮断し、数百人がかりで徹夜で復旧作業にあたりようやく翌日の午前8時に復旧したそうです。
 原因は、大会が始まる前から入念にしこまれていた40種以上のウイルスだったそうです。

 ピョンチャン五輪へサイバー攻撃 しれつな攻防を責任者が証言(NHK NEWS WEBより)

【4】 米中貿易摩擦や東京オリンピックがサイバーアタックの要因や標的になる可能性

 昨年末から続いている米中間の貿易摩擦の影響もあり、米中双方は今やサイバー戦争と呼んでも過言ではない状態になっています。ITに限らず他の先端分野の情報の争奪戦では 、我が国の研究機関や企業も当然標的になっており、各企業のサーバや国の機関のサーバ対策はこれまで以上にサイバーアタックに対する防御を強化する必要があります。
 また、そのような中で来年開催される東京オリンピックもその影響を受ける可能性がしだいに高くなってきていると思われます。

【5】 ダークウェブで2020年東京五輪への攻撃作戦を開始した中国ハッカーの情報
(Newsweek日本語版 2018年11月22日 から引用)

 この記事によると、昨年(2018年)の9月に日本と米国に住む日本人19万8000人に対して
 
 「東京2020ゲーム無料チケットとギフト」

という件名の怪しいメールが送りつけられました。そのうち9258人がそのメールのリンクをクリックしてウイルスに感染し、事実上パソコンを乗っ取られてしまったそうです。
 後の調査で、この一連の工作は中国政府系ハッカーによるサイバー攻撃キャンペーンの一環だったそうです。

 また、インターネット上ではダークウェブと呼ばれるグーグル検索などではたどり着けない特殊なウェブ空間があり、その中には世界中で暗躍するハッカー達のフォーラムがあるそうです。
 その闇のフォーラムの中にいるサイバーセキュリティ企業に協力する外国人ハッカーの話によると 、「東京五輪に絡んだサイバー攻撃が話題になっている」と語り、実際に金融機関や流通分野に対する攻撃が既に実施されており、五輪で使われそうな支払い処理システムのソースコード(ソフトの設計図)がまるまる盗み出されたケースも確認されていたそうです。

 また、インターネットのインテリジェンスを調査・解析するアントゥイット社サイファーマ事業のクマー・リテッシュCEOは、「五輪への本格的な攻撃がシステマチックに始まったのは今年の夏」と言う。「これまでの五輪やスポーツイベント同様、開催の2年前から工作が始まった」と語り、2016年のリオデジャネイロ五輪でも、2018年平昌五輪やサッカーW杯ロシア大会でも、サイバー攻撃は2年計画で行われてきたと話す。どの大会も、サイバー攻撃で関連ネットワークへの妨害やハッキング、情報搾取など、ある程度の被害を出している。」と話しているそうです。

 詳しくは
 五輪を襲う中国からのサイバー攻撃は、既に始まっている(Newsweek日本語版 2018年11月22日)
 をご覧になってください。
Copyright(C) 2002- ISABOU.NET All rights reserved.