英国当局は、米国と韓国のウェブサイトを麻痺させた最近のサイバー攻撃について捜査を開始した。犯人探しの捜査は世界中に広がっている。
ベトナムのセキュリティベンダーであるBach Khoa Internetwork Security(Bkis)は火曜日、米国と韓国の政府系サイトの主要サイトをダウンさせたサービス拒否攻撃を調整するために使われたマスターコマンドアンドコントロールサーバーを特定したと発表した。
コマンド&コントロールサーバーは、ゾンビPCに命令を配布するために使用され、ボットネットを形成します。このボットネットは、ウェブサイトに大量のトラフィックを集中させ、ウェブサイトを機能停止させるために使用されます。Bkisによると、このサーバーは、英国ブライトンに拠点を置くIPテレビ技術企業、Global Digital Broadcastが使用するIP(インターネットプロトコル)アドレス上に存在していました。
このマスターサーバーは、攻撃に使用された他の8台のコマンド&コントロールサーバーに命令を配布していました。8台のサーバーのうち2台を掌握したBkisは、74カ国にある16万6908台のハッキングされたコンピューターが攻撃に使用され、3分ごとに新しい命令を受け取るようにプログラムされていたと述べています。
しかし、マスターサーバーは英国ではなくマイアミにあると、ロンドン時間の火曜日の夜にIDGニュースサービスに語ったデジタル・グローバル・ブロードキャストのオーナーの一人、ティム・レイ氏は語る。
このサーバーは、Digital Global Broadcastのパートナー企業であるDigital Latin America(DLA)が所有しています。DLAは、ラテンアメリカの番組をエンコードし、セットトップボックスなどのIP TV対応デバイスで配信しています。
レイ氏によると、新しい番組は衛星から受信され、適切なフォーマットにエンコードされた後、VPN(仮想プライベートネットワーク)経由で英国に送られ、そこでデジタル・グローバル・ブロードキャストがコンテンツを配信する。VPN接続によって、マスターサーバーは実際にはDLAのマイアミデータセンターにあるにもかかわらず、デジタル・グローバル・ブロードキャストの所有物であるかのように見せかけられていた。
デジタル・グローバル・ブロードキャストのエンジニアらは、攻撃の発信元が北朝鮮政府である可能性をすぐに否定した。韓国当局は北朝鮮の関与を示唆している。
レイ氏によると、デジタル・グローバル・ブロードキャストはホスティングプロバイダーのC4Lから問題の通知を受けたという。また、英国の重大組織犯罪対策庁(SOCA)からも連絡があったという。SOCAの担当者は、調査について肯定も否定もできないと述べた。
DLAの顧問弁護士アマヤ・アリストイ氏は、同社が本日問題のサーバーを調査したところ「ウイルス」が見つかったと述べた。
「内部で調査を行っています」とアリストイ氏は語った。
捜査官は、フォレンジック分析のためにマスターサーバーを押収する必要があります。サーバーがハッカーの支配下にある場合、捜査に役立つ重要なデータが消去される可能性があるため、これはしばしばハッカーとの競争となります。
「これは面倒なプロセスなので、できるだけ早く済ませたい」とアーバーネットワークスのセキュリティ調査マネージャー、ホセ・ナザリオ氏は語る。
ナザリオ氏は、捜査官はログファイル、監査証跡、アップロードされたファイルなどのデータを求めるだろうと述べた。「探している聖杯は、攻撃者がどこからいつ接続したかを明らかにするフォレンジックデータです」と彼は述べた。
この攻撃を実行するために、ハッカーらは2004年1月に初めて登場したMyDoomと呼ばれる比較的古いマルウェアを改変した。MyDoomは電子メールワームの特性を備えており、他のマルウェアをPCにダウンロードしたり、Webサイトに対してサービス拒否攻撃を実行するようにプログラムしたりすることもできる。
攻撃に使用されたMyDoomの亜種の分析結果は、それほど印象的ではありませんでした。「それでも、コードはかなりずさんだと思います。つまり、ハッカーたちが確かな証拠を残してくれることを期待しています」とナザリオ氏は語りました。
